適用於雲端的 Defender 中的容器支援矩陣
警告
本文參考 CentOS,這是 Linux 發行版,已於 2024 年 6 月 30 日終止服務 (EOL)。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
本文摘要說明適用於雲端的 Microsoft Defender 中容器功能的支援資訊。
注意
- 特定功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
- 只有雲端廠商支援的 AKS、EKS 和 GKE 版本受到適用於雲端的 Defender 正式支援。
重要
由 Qualys 提供的適用於雲端的 Microsoft Defender 容器弱點評估即將淘汰。 淘汰作業將於 3 月 6 日完成,直到該時間部分結果可能仍會出現在 Qualys 建議中,而 Qualys 結果則會在安全性圖表中。 先前使用此評量的任何客戶都應該升級至使用 Microsoft Defender 弱點管理進行 Azure 的弱點評估。 如需轉換至由 Microsoft Defender 弱點管理所提供容器弱點評估供應項目的資訊,請參閱 從 Qualys 轉換至 Microsoft Defender 弱點管理。
Azure
以下是適用於容器的 Defender 中每個網域的功能:
安全性狀態管理
功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
---|---|---|---|---|---|---|---|---|
Kubernetes 的無代理程式探索 | 提供 Kubernetes 叢集的零使用量、以 API 為基礎的探索、其設定和部署。 | AKS | GA | GA | 啟用 [Kubernetes 上的無代理程式探索] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | Azure 商業雲端 |
完整的詳細目錄功能 | 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 | ACR、AKS | GA | GA | 啟用 [Kubernetes 上的無代理程式探索] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | Azure 商業雲端 |
攻擊路徑分析 | 以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會公開攻擊者可能用來入侵您環境的惡意探索路徑。 | ACR、AKS | GA | GA | 已使用方案啟用 | 無代理程式 | Defender CSPM (需要啟用 Kubernetes 的無代理程式探索) | Azure 商業雲端 |
增強的風險搜捕 | 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 | ACR、AKS | GA | GA | 啟用 [Kubernetes 上的無代理程式探索] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | Azure 商業雲端 |
強化控制平面 | 持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。 | ACR、AKS | GA | GA | 已使用方案啟用 | 無代理程式 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
強化 Kubernetes 資料平面 | 使用最佳做法建議來保護 Kubernetes 容器的工作負載。 | AKS | GA | - | 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 | Azure 原則 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
Docker CIS | Docker CIS 基準 | VM、虛擬機器擴展集 | GA | - | 已使用方案啟用 | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Microsoft Azure |
弱點評估
功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
---|---|---|---|---|---|---|---|---|
無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 | ACR 中映像的弱點評量 | ACR、私人 ACR | GA | GA | 啟用 [無代理程式容器弱點評量] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
無代理程式/代理程式型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 | AKS 中執行中映像的弱點評量 | AKS | GA | GA | 啟用 [無代理程式容器弱點評量] 切換 | 無代理程式 (需要 Kubernetes 的無代理程式探索) 或/和 Defender 感應器 | 適用於容器的 Defender 或 Defender CSPM | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
執行階段威脅防護
功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
---|---|---|---|---|---|---|---|---|
控制平面 | 根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 | AKS | GA | GA | 已使用方案啟用 | 無代理程式 | 適用於容器的 Defender | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
工作負載 | 針對叢集層級、節點層級和工作負載層級偵測 Kubernetes 的可疑活動 | AKS | GA | - | 啟用 Azure 中的 Defender 感應器切換或在個別叢集上部署 Defender 感應器 | Defender 感應器 | 適用於容器的 Defender | 商業雲端 國家/地區雲端:Azure Government、Azure China 21Vianet |
部署和監視
功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
---|---|---|---|---|---|---|---|---|
探索未受保護的叢集 | 探索缺少 Defender 感應器的 Kubernetes 叢集 | AKS | GA | GA | 已使用方案啟用 | 無代理程式 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
Defender 感應器自動佈建 | 自動部署 Defender 感應器 | AKS | GA | - | 啟用 [Azure 中的 Defender 感應器] 切換 | 無代理程式 | 適用於容器的 Defender | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
適用於 Kubernetes 的 Azure 原則自動佈建 | 適用於 Kubernetes 的 Azure 原則感應器自動部署 | AKS | GA | - | 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 | 無代理程式 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
Azure 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量
層面 | 詳細資料 |
---|---|
登錄和映像 | 支援 • ACR 登錄 • 使用 Azure Private Link 保護的 ACR 登錄 (私人登錄需要存取受信任的服務) • 容器映像的格式為 Docker V2 • Open Container Initiative (OCI) 映像格式規格的映像 不支援 • 極簡映像如 Docker scratch 映像 目前不支援 |
作業系統 | 支援 • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9。 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。) • Oracle Linux 6-9 • Amazon Linux 1、2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (以 Debian GNU/Linux 7-12 為基礎) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016、2019、2022 |
語言專屬套件 |
支援 • Python • Node.js • .NET • JAVA • Go |
適用於 Azure 的 Kubernetes 發行版本和組態 - 執行階段威脅防護
層面 | 詳細資料 |
---|---|
Kubernetes 散發套件和設定 | 支援 • 使用 Kubernetes RBAC 的 Azure Kubernetes Service (AKS) 透過已啟用 Arc 的 Kubernetes 支援 1 2 • Azure Kubernetes Service 混合式 • Kubernetes • AKS 引擎 • Azure Red Hat OpenShift |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過在 Azure 上測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
私人連結限制
適用於容器的 Defender 有數項功能依賴 Defender 感應器。 Defender 感應器不支援透過 Private Link 內嵌資料的功能。 您可停用公用存取以公擷取,因此只有設定為透過 Azure 監視器私人連結傳送流量的機器,可以將資料傳送至該工作站。 您可以瀏覽至your workspace
>網路隔離,並將 [虛擬網路存取設定] 設為 [否] 來設定私人連結。
只允許工作區網路隔離設定上透過私人連結範圍執行的資料擷取,可能導致通訊失敗,且造成適用於容器的 Defender 功能集部分交集。
了解如何使用 Azure Private Link 連線網路與 Azure 監視器。
AWS
網域 | 功能 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 無代理程式/感應器型 | 定價層 |
---|---|---|---|---|---|---|
安全性狀態管理 | Kubernetes 的無代理程式探索 | EKS | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
安全性狀態管理 | 完整的詳細目錄功能 | ECR、EKS | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
安全性狀態管理 | 攻擊路徑分析 | ECR、EKS | GA | GA | 無代理程式 | Defender CSPM |
安全性狀態管理 | 增強的風險搜捕 | ECR、EKS | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
安全性狀態管理 | Docker CIS | EC2 | GA | - | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 |
安全性狀態管理 | 強化控制平面 | - | - | - | - | - |
安全性狀態管理 | Kubernetes 資料平面強化 | EKS | GA | - | 適用於 Kubernetes 的 Azure 原則 | 適用於容器的 Defender |
弱點評估 | 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 | ECR | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
弱點評估 | 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 | EKS | GA | GA | 無代理程式或/和 Defender 感應器 | 適用於容器的 Defender 或 Defender CSPM |
執行階段保護 | 控制平面 | EKS | GA | GA | 無代理程式 | 適用於容器的 Defender |
執行階段保護 | 工作負載 | EKS | GA | - | Defender 感應器 | 適用於容器的 Defender |
部署和監視 | 探索未受保護的叢集 | EKS | GA | GA | 無代理程式 | 適用於容器的 Defender |
部署和監視 | Defender 感應器的自動佈建 | EKS | GA | - | - | - |
部署和監視 | 適用於 Kubernetes 的 Azure 原則自動佈建 | EKS | GA | - | - | - |
AWS 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量
層面 | 詳細資料 |
---|---|
登錄和映像 | 支援 • ECR 登錄 • 容器映像的格式為 Docker V2 • Open Container Initiative (OCI) 映像格式規格的映像 不支援 • 目前不支援極簡映像,例如 Docker scratch 映像 • 公用存放庫 • 資訊清單 |
作業系統 | 支援 • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。) • Oracle Linux 6-9 • Amazon Linux 1、2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (以 Debian GNU/Linux 7-12 為基礎) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows server 2016、2019、2022 |
語言專屬套件 |
支援 • Python • Node.js • .NET • JAVA • Go |
AWS 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護
層面 | 詳細資料 |
---|---|
Kubernetes 散發套件和設定 | 支援 • Amazon Elastic Kubernetes 服務 (EKS) 透過已啟用 Arc 的 Kubernetes 支援 1 2 • Kubernetes 不支援 • EKS 私人叢集 |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
輸出 Proxy 支援 - AWS
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy
具有IP限制的叢集 - AWS
如果您的 AWS 中的 Kubernetes 叢集已啟用控制平面 IP 限制(請參閱 Amazon EKS 叢集端點存取控制 - Amazon EKS,),則會更新控制平面的 IP 限制設定,以包含 適用於雲端的 Microsoft Defender 的 CIDR 區塊。
GCP
網域 | 功能 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 無代理程式/感應器型 | 定價層 |
---|---|---|---|---|---|---|
安全性狀態管理 | Kubernetes 的無代理程式探索 | GKE | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
安全性狀態管理 | 完整的詳細目錄功能 | GAR、GCR、GKE | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
安全性狀態管理 | 攻擊路徑分析 | GAR、GCR、GKE | GA | GA | 無代理程式 | Defender CSPM |
安全性狀態管理 | 增強的風險搜捕 | GAR、GCR、GKE | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
安全性狀態管理 | Docker CIS | GCP VM | GA | - | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 |
安全性狀態管理 | 強化控制平面 | GKE | GA | GA | 無代理程式 | 免費 |
安全性狀態管理 | Kubernetes 資料平面強化 | GKE | GA | - | 適用於 Kubernetes 的 Azure 原則 | 適用於容器的 Defender |
弱點評估 | 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 | GAR、GCR | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
弱點評估 | 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 | GKE | GA | GA | 無代理程式或/和 Defender 感應器 | 適用於容器的 Defender 或 Defender CSPM |
執行階段保護 | 控制平面 | GKE | GA | GA | 無代理程式 | 適用於容器的 Defender |
執行階段保護 | 工作負載 | GKE | GA | - | Defender 感應器 | 適用於容器的 Defender |
部署和監視 | 探索未受保護的叢集 | GKE | GA | GA | 無代理程式 | 適用於容器的 Defender |
部署和監視 | Defender 感應器的自動佈建 | GKE | GA | - | 無代理程式 | 適用於容器的 Defender |
部署和監視 | 適用於 Kubernetes 的 Azure 原則自動佈建 | GKE | GA | - | 無代理程式 | 適用於容器的 Defender |
GCP 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量
層面 | 詳細資料 |
---|---|
登錄和映像 | 支援 • Google 登錄 (GAR、GCR) • 容器映像的格式為 Docker V2 • Open Container Initiative (OCI) 映像格式規格的映像 不支援 • 目前不支援極簡映像,例如 Docker scratch 映像 • 公用存放庫 • 資訊清單 |
作業系統 | 支援 • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。) • Oracle Linux 6-9 • Amazon Linux 1、2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (以 Debian GNU/Linux 7-12 為基礎) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows server 2016、2019、2022 |
語言專屬套件 |
支援 • Python • Node.js • .NET • JAVA • Go |
GCP 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護
層面 | 詳細資料 |
---|---|
Kubernetes 散發套件和設定 | 支援 • Google Kubernetes 引擎 (GKE) 標準 透過已啟用 Arc 的 Kubernetes 支援 1 2 • Kubernetes 不支援 • 私人網路叢集 • GKE autopilot • GKE AuthorizedNetworksConfig |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
輸出 Proxy 支援 - GCP
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy
具有IP限制的叢集 - GCP
如果您的 GCP 中的 Kubernetes 叢集已啟用控制平面 IP 限制(請參閱新增授權的網路以控制平面存取 |Google Kubernetes Engine (GKE) |Google Cloud ),控制平面的IP限制設定將會更新,以包含 適用於雲端的 Microsoft Defender的 CIDR 區塊。
內部部署、已啟用 Arc 的 Kubernetes 叢集
網域 | 功能 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 無代理程式/感應器型 | 定價層 |
---|---|---|---|---|---|---|
安全性狀態管理 | Docker CIS | 已啟用 Arc 的 VM | 預覽 | - | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 |
安全性狀態管理 | 強化控制平面 | - | - | - | - | - |
安全性狀態管理 | Kubernetes 資料平面強化 | 已啟用 Arc 的 K8s 叢集 | GA | - | 適用於 Kubernetes 的 Azure 原則 | 適用於容器的 Defender |
執行階段保護 | 威脅防護 (控制平面) | 已啟用 Arc 的 K8s 叢集 | 預覽 | 預覽 | Defender 感應器 | 適用於容器的 Defender |
執行階段保護 | 威脅防護 (工作負載) | 已啟用 Arc 的 K8s 叢集 | 預覽 | - | Defender 感應器 | 適用於容器的 Defender |
部署和監視 | 探索未受保護的叢集 | 已啟用 Arc 的 K8s 叢集 | 預覽 | - | 無代理程式 | 免費 |
部署和監視 | Defender 感應器的自動佈建 | 已啟用 Arc 的 K8s 叢集 | 預覽 | 預覽 | 無代理程式 | 適用於容器的 Defender |
部署和監視 | 適用於 Kubernetes 的 Azure 原則自動佈建 | 已啟用 Arc 的 K8s 叢集 | 預覽 | - | 無代理程式 | 適用於容器的 Defender |
Kubernetes 散發套件和設定
層面 | 詳細資料 |
---|---|
Kubernetes 散發套件和設定 | 透過已啟用 Arc 的 Kubernetes 支援 1 2 • Azure Kubernetes Service 混合式 • Kubernetes • AKS 引擎 • Azure Red Hat OpenShift • Red Hat OpenShift (4.6 版或更新版本) • VMware Tanzu Kubernetes 格線 • Rancher Kubernetes 引擎 |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
支援的主機作業系統
適用於容器的 Defender 有數項功能依賴 Defender 感應器。 下列主機作業系統支援 Defender 感應器:
- Amazon Linux 2
- CentOS 8 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
- Debian 10
- Debian 11
- Google Container-Optimized OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
請確定您的 Kubernetes 節點已在其中一個驗證支援的作業系統上執行。 使用不同主機作業系統的叢集只會取得部分涵蓋範圍。
Defender 感應器限制
ARM64 節點上不支援 AKS V1.28 和以下的 Defender 感應器。
網路限制
私人連結
適用於容器的 Defender 有數項功能依賴 Defender 感應器。 Defender 感應器不支援透過 Private Link 內嵌資料的功能。 您可停用公用存取以公擷取,因此只有設定為透過 Azure 監視器私人連結傳送流量的機器,可以將資料傳送至該工作站。 您可以瀏覽至your workspace
>網路隔離,並將 [虛擬網路存取設定] 設為 [否] 來設定私人連結。
只允許工作區網路隔離設定上透過私人連結範圍執行的資料擷取,可能導致通訊失敗,且造成適用於容器的 Defender 功能集部分交集。
了解如何使用 Azure Private Link 連線網路與 Azure 監視器。
輸出 Proxy 支援
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy