適用於雲端的 Defender 中的容器支援矩陣
警告
本文參考 CentOS,這是接近生命週期結束 (EOL) 狀態的 Linux 發行版本。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
本文摘要說明適用於雲端的 Microsoft Defender 中容器功能的支援資訊。
注意
- 特定功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
- 只有雲端廠商支援的 AKS、EKS 和 GKE 版本受到適用於雲端的 Defender 正式支援。
重要
由 Qualys 提供的 適用於雲端的 Defender 容器弱點評估即將淘汰。 淘汰作業將於 3 月 6 日完成,直到該時間部分結果仍會出現在 Qualys 建議中,而 Qualys 則會導致安全性圖表。 先前使用此評定的任何客戶都應該升級至具有 Microsoft Defender 弱點管理 的 Azure 弱點評定。 如需轉換至由 Microsoft Defender 弱點管理 提供之容器弱點評估供應專案的相關信息,請參閱從 Qualys 轉換至 Microsoft Defender 弱點管理。
Azure
以下是適用於容器的 Defender 中每個網域的功能:
安全性狀態管理
| 功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
|---|---|---|---|---|---|---|---|---|
| Kubernetes 的無代理程式探索 | 提供 Kubernetes 叢集的零使用量、以 API 為基礎的探索、其設定和部署。 | AKS | GA | GA | 啟用 [Kubernetes 上的無代理程式探索] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | Azure 商業雲端 |
| 完整的詳細目錄功能 | 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 | ACR、AKS | GA | GA | 啟用 [Kubernetes 上的無代理程式探索] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | Azure 商業雲端 |
| 攻擊路徑分析 | 以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會公開攻擊者可能用來入侵您環境的惡意探索路徑。 | ACR、AKS | GA | GA | 已使用方案啟用 | 無代理程式 | Defender CSPM (需要啟用 Kubernetes 的無代理程式探索) | Azure 商業雲端 |
| 增強的風險搜捕 | 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 | ACR、AKS | GA | GA | 啟用 [Kubernetes 上的無代理程式探索] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | Azure 商業雲端 |
| 強化控制平面 | 持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。 | ACR、AKS | GA | 預覽 | 已使用方案啟用 | 無代理程式 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| 強化 Kubernetes 資料平面 | 使用最佳做法建議來保護 Kubernetes 容器的工作負載。 | AKS | GA | - | 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 | Azure 原則 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| Docker CIS | Docker CIS 基準 | VM、虛擬機器擴展集 | GA | - | 已使用方案啟用 | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Microsoft Azure |
弱點評估
| 功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
|---|---|---|---|---|---|---|---|---|
| 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 | ACR 中映像的弱點評量 | ACR、私人 ACR | GA | GA | 啟用 [無代理程式容器弱點評量] 切換 | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| 無代理程式/代理程式型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 | AKS 中執行中映像的弱點評量 | AKS | GA | GA | 啟用 [無代理程式容器弱點評量] 切換 | 無代理程式 (需要 Kubernetes 的無代理程式探索) OR/AND Defender 感測器 | 適用於容器的 Defender 或 Defender CSPM | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
執行階段威脅防護
| 功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
|---|---|---|---|---|---|---|---|---|
| 控制平面 | 根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 | AKS | GA | GA | 已使用方案啟用 | 無代理程式 | 適用於容器的 Defender | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| 工作負載 | 針對叢集層級、節點層級和工作負載層級偵測 Kubernetes 的可疑活動 | AKS | GA | - | 在 Azure 中啟用 Defender 感測器切換或部署個別叢集上的 Defender 感測器 | Defender 感測器 | 適用於容器的 Defender | 商業雲端 國家/地區雲端:Azure Government、Azure China 21Vianet |
部署和監視
| 功能 | 描述 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 啟用方法 | Sensor | 計劃 | Azure 雲端可用性 |
|---|---|---|---|---|---|---|---|---|
| 探索未受保護的叢集 | 探索缺少Defender感測器的 Kubernetes 叢集 | AKS | GA | GA | 已使用方案啟用 | 無代理程式 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| Defender 感測器自動布建 | 自動部署Defender感測器 | AKS | GA | - | 在 Azure 中啟用 Defender 感測器切換 | 無代理程式 | 適用於容器的 Defender | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| 適用於 Kubernetes 的 Azure 原則自動佈建 | 適用於 Kubernetes 的 Azure 原則感測器自動部署 | AKS | GA | - | 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 | 無代理程式 | 免費 | 商業雲端 國家雲端:Azure Government、由 21Vianet 營運的 Azure |
Azure 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量
| 層面 | 詳細資料 |
|---|---|
| 登錄和映像 | 支援 • ACR 登錄 • 使用 Azure Private Link 保護的 ACR 登錄 (私人登錄需要存取受信任的服務) • 容器映像的格式為 Docker V2 • Open Container Initiative (OCI) 映像格式規格的映像 不支援 • 極簡映像如 Docker scratch 映像 目前不支援 |
| 作業系統 | 支援 • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1、2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (以 Debian GNU/Linux 7-12 為基礎) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016、2019、2022 |
| 語言專屬套件 |
支援 • Python • Node.js • .NET • JAVA • Go |
適用於 Azure 的 Kubernetes 發行版本和組態 - 執行階段威脅防護
| 層面 | 詳細資料 |
|---|---|
| Kubernetes 散發套件和設定 | 支援 • 使用 Kubernetes RBAC 的 Azure Kubernetes Service (AKS) 透過已啟用 Arc 的 Kubernetes12 支援 • Azure Kubernetes Service 混合式 • Kubernetes • AKS 引擎 • Azure Red Hat OpenShift |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過在 Azure 上測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
私人連結限制
適用於容器的 Defender依賴Defender感測器 來取得數個功能。 Defender 感測器不支援透過 Private Link 內嵌資料的功能。 您可停用公用存取以公擷取,因此只有設定為透過 Azure 監視器私人連結傳送流量的機器,可以將資料傳送至該工作站。 您可以瀏覽至your workspace>網路隔離,並將 [虛擬網路存取設定] 設為 [否] 來設定私人連結。
只允許工作區網路隔離設定上透過私人連結範圍執行的資料擷取,可能導致通訊失敗,且造成適用於容器的 Defender 功能集部分交集。
了解如何使用 Azure Private Link 連線網路與 Azure 監視器。
AWS
| 網域 | 功能 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 無代理程式/感測器型 | 定價層 |
|---|---|---|---|---|---|---|
| 安全性狀態管理 | Kubernetes 的無代理程式探索 | EKS | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 安全性狀態管理 | 完整的詳細目錄功能 | ECR、EKS | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 安全性狀態管理 | 攻擊路徑分析 | ECR、EKS | GA | GA | 無代理程式 | Defender CSPM |
| 安全性狀態管理 | 增強的風險搜捕 | ECR、EKS | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 安全性狀態管理 | Docker CIS | EC2 | GA | - | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 |
| 安全性狀態管理 | 強化控制平面 | - | - | - | - | - |
| 安全性狀態管理 | Kubernetes 資料平面強化 | EKS | GA | - | 適用於 Kubernetes 的 Azure 原則 | 適用於容器的 Defender |
| 弱點評估 | 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 | ECR | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 弱點評估 | 無代理程式/感測器型運行時間 (由 Microsoft Defender 弱點管理 提供技術支援的套件 | EKS | GA | GA | 無 代理程式或/AND Defender 感測器 | 適用於容器的 Defender 或 Defender CSPM |
| 執行階段保護 | 控制平面 | EKS | GA | GA | 無代理程式 | 適用於容器的 Defender |
| 執行階段保護 | 工作負載 | EKS | GA | - | Defender 感測器 | 適用於容器的 Defender |
| 部署和監視 | 探索未受保護的叢集 | EKS | GA | GA | 無代理程式 | 適用於容器的 Defender |
| 部署和監視 | Defender 感測器的自動布建 | EKS | GA | - | - | - |
| 部署和監視 | 適用於 Kubernetes 的 Azure 原則自動佈建 | EKS | GA | - | - | - |
AWS 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量
| 層面 | 詳細資料 |
|---|---|
| 登錄和映像 | 支援 • ECR 登錄 • 容器映像的格式為 Docker V2 • Open Container Initiative (OCI) 映像格式規格的映像 不支援 • 目前不支援極簡映像,例如 Docker scratch 映像 • 公用存放庫 • 資訊清單 |
| 作業系統 | 支援 • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1、2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (以 Debian GNU/Linux 7-12 為基礎) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows server 2016、2019、2022 |
| 語言專屬套件 |
支援 • Python • Node.js • .NET • JAVA • Go |
AWS 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護
| 層面 | 詳細資料 |
|---|---|
| Kubernetes 散發套件和設定 | 支援 • Amazon Elastic Kubernetes 服務 (EKS) 透過已啟用 Arc 的 Kubernetes12 支援 • Kubernetes 不支援 • EKS 私人叢集 |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
輸出 Proxy 支援 - AWS
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy
GCP
| 網域 | 功能 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 無代理程式/感測器型 | 定價層 |
|---|---|---|---|---|---|---|
| 安全性狀態管理 | Kubernetes 的無代理程式探索 | GKE | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 安全性狀態管理 | 完整的詳細目錄功能 | GAR、GCR、GKE | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 安全性狀態管理 | 攻擊路徑分析 | GAR、GCR、GKE | GA | GA | 無代理程式 | Defender CSPM |
| 安全性狀態管理 | 增強的風險搜捕 | GAR、GCR、GKE | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 安全性狀態管理 | Docker CIS | GCP VM | GA | - | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 |
| 安全性狀態管理 | 強化控制平面 | GKE | GA | GA | 無代理程式 | 免費 |
| 安全性狀態管理 | Kubernetes 資料平面強化 | GKE | GA | - | 適用於 Kubernetes 的 Azure 原則 | 適用於容器的 Defender |
| 弱點評估 | 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 | GAR、GCR | GA | GA | 無代理程式 | 適用於容器的 Defender 或 Defender CSPM |
| 弱點評估 | 無代理程式/感測器型運行時間(由 Microsoft Defender 弱點管理 提供技術支援的套件 | GKE | GA | GA | 無 代理程式或/AND Defender 感測器 | 適用於容器的 Defender 或 Defender CSPM |
| 執行階段保護 | 控制平面 | GKE | GA | GA | 無代理程式 | 適用於容器的 Defender |
| 執行階段保護 | 工作負載 | GKE | GA | - | Defender 感測器 | 適用於容器的 Defender |
| 部署和監視 | 探索未受保護的叢集 | GKE | GA | GA | 無代理程式 | 適用於容器的 Defender |
| 部署和監視 | Defender 感測器的自動布建 | GKE | GA | - | 無代理程式 | 適用於容器的 Defender |
| 部署和監視 | 適用於 Kubernetes 的 Azure 原則自動佈建 | GKE | GA | - | 無代理程式 | 適用於容器的 Defender |
GCP 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量
| 層面 | 詳細資料 |
|---|---|
| 登錄和映像 | 支援 • Google 登錄 (GAR、GCR) • 容器映像的格式為 Docker V2 • Open Container Initiative (OCI) 映像格式規格的映像 不支援 • 目前不支援極簡映像,例如 Docker scratch 映像 • 公用存放庫 • 資訊清單 |
| 作業系統 | 支援 • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1、2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (以 Debian GNU/Linux 7-12 為基礎) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows server 2016、2019、2022 |
| 語言專屬套件 |
支援 • Python • Node.js • .NET • JAVA • Go |
GCP 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護
| 層面 | 詳細資料 |
|---|---|
| Kubernetes 散發套件和設定 | 支援 • Google Kubernetes 引擎 (GKE) 標準 透過已啟用 Arc 的 Kubernetes12 支援 • Kubernetes 不支援 • 私人網路叢集 • GKE autopilot • GKE AuthorizedNetworksConfig |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
輸出 Proxy 支援 - GCP
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy
內部部署、已啟用 Arc 的 Kubernetes 叢集
| 網域 | 功能 | 支援的資源 | Linux 版本狀態 | Windows 版本狀態 | 無代理程式/感測器型 | 定價層 |
|---|---|---|---|---|---|---|
| 安全性狀態管理 | Docker CIS | 已啟用 Arc 的 VM | 預覽 | - | Log Analytics 代理程式 | 適用於伺服器的 Defender 方案 2 |
| 安全性狀態管理 | 強化控制平面 | - | - | - | - | - |
| 安全性狀態管理 | Kubernetes 資料平面強化 | 已啟用 Arc 的 K8s 叢集 | GA | - | 適用於 Kubernetes 的 Azure 原則 | 適用於容器的 Defender |
| 執行階段保護 | 威脅防護 (控制平面) | 已啟用 Arc 的 K8s 叢集 | 預覽 | 預覽 | Defender 感測器 | 適用於容器的 Defender |
| 執行階段保護 | 威脅防護 (工作負載) | 已啟用 Arc 的 K8s 叢集 | 預覽 | - | Defender 感測器 | 適用於容器的 Defender |
| 部署和監視 | 探索未受保護的叢集 | 已啟用 Arc 的 K8s 叢集 | 預覽 | - | 無代理程式 | 免費 |
| 部署和監視 | Defender 感測器的自動布建 | 已啟用 Arc 的 K8s 叢集 | 預覽 | 預覽 | 無代理程式 | 適用於容器的 Defender |
| 部署和監視 | 適用於 Kubernetes 的 Azure 原則自動佈建 | 已啟用 Arc 的 K8s 叢集 | 預覽 | - | 無代理程式 | 適用於容器的 Defender |
Kubernetes 散發套件和設定
| 層面 | 詳細資料 |
|---|---|
| Kubernetes 散發套件和設定 | 透過已啟用 Arc 的 Kubernetes12 支援 • Azure Kubernetes Service 混合式 • Kubernetes • AKS 引擎 • Azure Red Hat OpenShift • Red Hat OpenShift (4.6 版或更新版本) • VMware Tanzu Kubernetes 格線 • Rancher Kubernetes 引擎 |
1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
注意
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
支援的主機作業系統
適用於容器的 Defender依賴Defender感測器 來取得數個功能。 下列主機作業系統支援Defender 感測器:
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- Google Container-Optimized OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
請確定您的 Kubernetes 節點已在其中一個驗證支援的作業系統上執行。 使用不同主機作業系統的叢集只會取得部分涵蓋範圍。
Defender 感測器限制
ARM64節點上不支援 AKS V1.28 和以下的 Defender 感測器。
網路限制
私人連結
適用於容器的Defender依賴Defender感測器來取得數個功能。 Defender 感測器不支援透過 Private Link 內嵌資料的功能。 您可停用公用存取以公擷取,因此只有設定為透過 Azure 監視器私人連結傳送流量的機器,可以將資料傳送至該工作站。 您可以瀏覽至your workspace>網路隔離,並將 [虛擬網路存取設定] 設為 [否] 來設定私人連結。
只允許工作區網路隔離設定上透過私人連結範圍執行的資料擷取,可能導致通訊失敗,且造成適用於容器的 Defender 功能集部分交集。
了解如何使用 Azure Private Link 連線網路與 Azure 監視器。
輸出 Proxy 支援
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy