Caution
Questo articolo fa riferimento a CentOS, una distribuzione Linux che rappresenta la fine del servizio a partire dal 30 giugno 2024. Si prega di considerare il proprio utilizzo e pianificare di conseguenza. Per ulteriori informazioni, consultare la Guida alla fine del ciclo di vita di CentOS.
Questo articolo riepiloga le informazioni sul supporto per le funzionalità dei contenitori in Microsoft Defender per il cloud.
Note
- Le funzionalità specifiche sono in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.
- Solo le versioni di AKS, EKS e GKE supportate dal fornitore del Cloud sono ufficialmente supportate da Defender per il Cloud.
Di seguito sono riportate le funzionalità fornite da Defender per contenitori, per gli ambienti cloud supportati e i registri contenitori.
Funzionalità di valutazione della vulnerabilità
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Registro dei contenitori VA |
Attivazione di contratti multilicenza nei registri contenitori |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Richiede l'accesso al Registro di sistema1 o la creazione del connettore per Docker Hub/Jfrog |
Defender per contenitori o Defender CSPM |
Commercial clouds
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Contenitore di runtime VA - Analisi del Registro basata su |
Valutazione della vulnerabilità dei contenitori che eseguono immagini dai registri supportati. |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Richiede l'Accesso al registro1 o la creazione del connettore per l'hub Docker/Jfrog e l'Accesso api K8S o il sensore Defender1 |
Defender per contenitori o Defender CSPM |
Commercial clouds
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Contenitore di runtime attivazione di contratti multilicenza |
Attivazione di contratti multilicenza agnostica dei contenitori che eseguono immagini |
All |
Preview |
- |
Richiede analisi senza agente per i computer e o l'accesso API K8S o il sensore Defender1 |
Defender per contenitori o Defender CSPM |
Commercial clouds
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
1cloud nazionali vengono abilitati automaticamente e non possono essere disabilitati.
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Registro dei contenitori VA |
Valutazioni delle vulnerabilità per le immagini nei registri contenitori |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Richiede accesso al Registro di sistema |
Defender per contenitori o Defender CSPM |
AWS |
| Contenitore di runtime VA - Analisi del Registro basata su |
Valutazione della vulnerabilità dei contenitori che eseguono immagini dai registri supportati. |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Richiede analisi senza agente per i computer e o accesso API K8S o il sensore di Defender |
Defender per contenitori o Defender CSPM |
AWS |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Registro dei contenitori VA |
Valutazioni delle vulnerabilità per le immagini nei registri contenitori |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Richiede accesso al Registro di sistema |
Defender per contenitori o Defender CSPM |
GCP |
| Contenitore di runtime VA - Analisi del Registro basata su |
Valutazione della vulnerabilità dei contenitori che eseguono immagini dai registri supportati. |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Richiede analisi senza agente per i computer e o accesso API K8S o il sensore di Defender |
Defender per contenitori o Defender CSPM |
GCP |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Registro dei contenitori VA |
Valutazioni delle vulnerabilità per le immagini nei registri contenitori |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Richiede accesso al Registro di sistema |
Defender per contenitori o Defender CSPM |
Cluster ARC connessi |
| Contenitore di runtime VA - Analisi del Registro basata su |
Valutazione della vulnerabilità dei contenitori che eseguono immagini dai registri supportati. |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Richiede analisi senza agente per i computer e o accesso API K8S o il sensore di Defender |
Defender per contenitori o Defender CSPM |
Cluster ARC connessi |
Supporto di registri e immagini per la valutazione della vulnerabilità
| Aspect |
Details |
| Registri e immagini |
Supported
* Immagini del contenitore in formato Docker V2
Immagini con specifica del formato di immagine Open Container Initiative (OCI)
Unsupported
* Immagini super-minimaliste, come le immagini Docker scratch, non sono attualmente supportate.
* Repository pubblici
* Elenchi di manifesti
|
| Operating systems |
Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS è End Of Service a partire dal 30 giugno 2024. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (basato su Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows server 2016, 2019, 2022
* Sistema operativo Chainguard/Wolfi OS
* Alma Linux 8.4 o versione successiva
* Rocky Linux 8.7 o versione successiva |
Pacchetti specifici della lingua
|
Supported
* Python
* Node.js
* PHP
* Ruby
* Rust
* .NET
* Java
* Go |
Funzionalità di protezione del runtime
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
AKS |
GA |
GA |
Abilitato con piano |
Defender per contenitori |
Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Workload detection |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
AKS |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
AKS |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
Commercial clouds |
| DNS Detection |
Funzionalità di rilevamento DNS |
AKS |
Preview |
|
Richiede un sensore Defender tramite Helm |
Defender per contenitori |
Commercial clouds |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
AKS |
Anteprima: attualmente supporta i log di controllo degli eventi del processo & |
Anteprima: attualmente supporta i log di controllo |
Richiede un sensore Defender |
Defender per contenitori |
Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
AKS |
Preview |
- |
Richiede un sensore Defender e un'API di accesso K8S |
Defender per contenitori |
Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Malware detection |
Rilevamento di malware |
AKS nodes |
GA |
GA |
Richiede l'analisi senza agente per i computer |
Defender per contenitori o Defender per server piano 2 |
Commercial clouds |
Distribuzioni e configurazioni di Kubernetes per la protezione dalle minacce di runtime in Azure
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati in Azure solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Note
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
EKS |
GA |
GA |
Abilitato con piano |
Defender per contenitori |
AWS |
| Workload detection |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
EKS |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
AWS |
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
EKS |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
AWS |
| DNS Detection |
Funzionalità di rilevamento DNS |
EKS |
Preview |
|
Richiede un sensore Defender tramite Helm |
Defender per contenitori |
AWS |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
EKS |
Anteprima: attualmente supporta i log di controllo degli eventi del processo & |
Anteprima: attualmente supporta i log di controllo |
Richiede un sensore Defender |
Defender per contenitori |
AWS |
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
EKS |
Preview |
- |
Richiede un sensore Defender e un'API di accesso K8S |
Defender per contenitori |
AWS |
| Malware detection |
Rilevamento di malware |
- |
- |
- |
- |
- |
- |
Supporto di distribuzioni/configurazioni kubernetes per la protezione dalle minacce di runtime in AWS
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Note
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
GKE |
GA |
GA |
Abilitato con piano |
Defender per contenitori |
GCP |
| Workload detection |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
GKE |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
GCP |
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
GKE |
GA |
- |
Richiede un sensore Defender |
Defender per contenitori |
GCP |
| DNS Detection |
Funzionalità di rilevamento DNS |
GKE |
Preview |
|
Richiede un sensore Defender tramite Helm |
Defender per contenitori |
GCP |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
GKE |
Anteprima: attualmente supporta i log di controllo degli eventi del processo & |
Anteprima: attualmente supporta i log di controllo |
Richiede un sensore Defender |
Defender per contenitori |
GCP |
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
GKE |
Preview |
- |
Richiede un sensore Defender e un'API di accesso K8S |
Defender per contenitori |
GCP |
| Malware detection |
Rilevamento di malware |
- |
- |
- |
- |
- |
- |
Supporto delle distribuzioni/configurazioni Kubernetes per la protezione dalle minacce durante il runtime in GCP
| Aspect |
Details |
| Distribuzioni e configurazioni Kubernetes |
Supported
*
Google Kubernetes Engine (GKE) Standard
Supportato tramite Kubernetes abilitato per Arc12
*
Kubernetes
Unsupported
* Cluster di rete privata
* Autopilot GKE
* GKE AuthorizedNetworksConfig |
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Note
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Rilevamento del piano di controllo |
Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes |
Cluster K8s abilitati per Arc |
Preview |
Preview |
Richiede un sensore Defender |
Defender per contenitori |
|
| Workload detection |
Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette |
Cluster Kubernetes con abilitazione di Arc |
Preview |
- |
Richiede un sensore Defender |
Defender per contenitori |
|
| Rilevamento della deriva binaria |
Rileva il file binario del contenitore di runtime dall'immagine del contenitore |
|
- |
- |
- |
- |
- |
| Ricerca avanzata in XDR |
Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR |
Cluster Kubernetes con abilitazione di Arc |
Anteprima: attualmente supporta i log di controllo degli eventi del processo & |
Anteprima: attualmente supporta i log di controllo degli eventi del processo & |
Richiede un sensore Defender |
Defender per contenitori |
|
| Azioni di risposta in XDR |
Fornisce correzioni automatiche e manuali in Microsoft XDR |
- |
- |
- |
- |
- |
|
| Malware detection |
Rilevamento di malware |
- |
- |
- |
- |
- |
- |
Distribuzioni/configurazioni di Kubernetes per la protezione dalle minacce di runtime in Kubernetes con abilitazione di Arc
1 I cluster Kubernetes certificati Cloud Native Computing Foundation (CNF) sono potenzialmente supportati, ma sono stati testati solo i cluster specificati.
2 Per ottenere la protezione di Microsoft Defender per contenitori per gli ambienti, è necessario eseguire l'onboarding di Kubernetes abilitato per Azure Arc e abilitare Defender per contenitori come estensione Arc.
Note
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
Funzionalità di gestione del comportamento di sicurezza
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
|
Scoperta senza agente in Kubernetes1 |
Fornisce una scoperta senza impronta, basata su API, dei cluster Kubernetes, delle loro configurazioni e distribuzioni. |
AKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
ACR, AKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
| Analisi del percorso di attacco |
Un algoritmo a base di grafi che scansiona il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
ACR, AKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender CSPM |
Cloud commerciali di Azure |
| Enhanced risk-hunting |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
ACR, AKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
|
Rafforzamento del piano di controllo1 |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
ACR, AKS |
GA |
GA |
Abilitato con piano |
Free |
Commercial clouds
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
|
Workload hardening1 |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
AKS |
GA |
- |
Richiede Criteri di Azure |
Free |
Commercial clouds
Cloud nazionali: Azure per enti pubblici, Azure con gestione 21Vianet |
| Servizio Azure Kubernetes CIS |
Benchmark servizio Azure Kubernetes CIS |
AKS |
GA |
- |
Assegnato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
Commercial clouds
|
1 Questa funzionalità può essere abilitata per un singolo cluster quando si abilita Defender per contenitori a livello di risorsa cluster.
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
|
Scoperta senza agente per Kubernetes |
Fornisce una scoperta senza impronta, basata su API, dei cluster Kubernetes, delle loro configurazioni e distribuzioni. |
EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
Cloud commerciali di Azure |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
ECR, EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
AWS |
| Analisi del percorso di attacco |
Un algoritmo a base di grafi che scansiona il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
ECR, EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender CSPM (richiede l'abilitazione dell'individuazione senza agente per Kubernetes) |
AWS |
| Enhanced risk-hunting |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
ECR, EKS |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
AWS |
|
Rafforzamento del piano di controllo |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
- |
- |
- |
- |
- |
- |
|
Workload hardening |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
EKS |
GA |
- |
Richiede il provisioning automatico dell'estensione Criteri di Azure per Azure Arc |
Free |
AWS |
| Servizio Azure Kubernetes CIS |
Benchmark servizio Azure Kubernetes CIS |
EKS |
GA |
- |
Assegnato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
AWS |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
|
Scoperta senza agente per Kubernetes |
Fornisce una scoperta senza impronta, basata su API, dei cluster Kubernetes, delle loro configurazioni e distribuzioni. |
GKE |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
GCP |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
GCR, GAR, GKE |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
GCP |
| Analisi del percorso di attacco |
Un algoritmo a base di grafi che scansiona il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
GCR, GAR, GKE |
GA |
GA |
Richiede accesso all'API K8S |
Defender CSPM |
GCP |
| Enhanced risk-hunting |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
GCR, GAR, GKE |
GA |
GA |
Richiede accesso all'API K8S |
Defender per contenitori O Defender CSPM |
GCP |
|
Rafforzamento del piano di controllo |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
GKE |
GA |
GA |
Attivato con piano |
Free |
GCP |
|
Workload hardening |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
GKE |
GA |
- |
Richiede il provisioning automatico dell'estensione Criteri di Azure per Azure Arc |
Free |
GCP |
| Servizio Azure Kubernetes CIS |
Benchmark servizio Azure Kubernetes CIS |
GKE |
GA |
- |
Assegnato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
GCP |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
|
Scoperta senza agente per Kubernetes |
Fornisce una scoperta senza impronta, basata su API, dei cluster Kubernetes, delle loro configurazioni e distribuzioni. |
- |
- |
- |
- |
- |
- |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
- |
- |
- |
- |
- |
- |
| Analisi del percorso di attacco |
Un algoritmo a base di grafi che scansiona il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
- |
- |
- |
- |
- |
- |
| Enhanced risk-hunting |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
- |
- |
- |
- |
- |
- |
|
Rafforzamento del piano di controllo |
Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. |
- |
- |
- |
- |
- |
- |
|
Workload hardening |
Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. |
Cluster Kubernetes con abilitazione di Arc |
GA |
- |
Richiede il provisioning automatico dell'estensione Criteri di Azure per Azure Arc |
Defender per contenitori |
Cluster Kubernetes con abilitazione di Arc |
| Servizio Azure Kubernetes CIS |
Benchmark servizio Azure Kubernetes CIS |
Macchine virtuali con abilitazione Arc |
Preview |
- |
Assegnato come standard di sicurezza |
Defender per contenitori O Defender CSPM |
Cluster Kubernetes con abilitazione di Arc |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Funzionalità complete di inventario |
Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. |
Docker Hub, JFrog Artifactory |
Preview |
Preview |
Connector creation |
CSPM di base O Defender CSPM O Defender per contenitori |
- |
| Analisi del percorso di attacco |
Un algoritmo a base di grafi che scansiona il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli utenti malintenzionati potrebbero usare per violare l'ambiente. |
Docker Hub, JFrog Artifactory |
Preview |
Preview |
Connector creation |
Defender CSPM |
- |
| Enhanced risk-hunting |
Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. |
Docker Hub, JFrog |
Preview |
Preview |
Connector creation |
Defender per contenitori O Defender CSPM |
|
Funzionalità di protezione della catena di approvvigionamento del software dei contenitori
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Gated deployment |
Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes |
AKS 1.32 o versione successiva |
Preview |
Preview |
Abilitato con piano |
Defender per contenitori o Defender CSPM |
Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Gated deployment |
Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes |
- |
- |
- |
- |
- |
- |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Gated deployment |
Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes |
- |
- |
- |
- |
- |
- |
| Feature |
Description |
Supported resources |
Stato della versione Linux |
Stato della versione Windows |
Enablement method |
Plans |
Clouds availability |
| Gated deployment |
Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes |
- |
- |
- |
- |
- |
- |
Network restrictions
| Aspect |
Details |
| Supporto proxy per traffico in uscita |
I proxy in uscita senza autenticazione e i proxy in uscita con autenticazione di base sono supportati. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato. |
| Cluster con restrizioni IP |
Se il cluster Kubernetes in AWS ha restrizioni IP del piano di controllo abilitate (vedere Controllo di accesso degli endpoint del cluster Amazon EKS - Amazon EKS), la configurazione delle restrizioni IP del piano di controllo viene aggiornata per includere il blocco CIDR di Microsoft Defender per il cloud. |
| Aspect |
Details |
| Supporto proxy per traffico in uscita |
I proxy in uscita senza autenticazione e i proxy in uscita con autenticazione di base sono supportati. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato. |
| Cluster con restrizioni IP |
Se il cluster Kubernetes in GCP ha restrizioni IP del piano di controllo abilitate (vedere GKE - Aggiungere reti autorizzate per l'accesso al piano di controllo ), la configurazione delle restrizioni IP del piano di controllo viene aggiornata per includere il blocco CIDR di Microsoft Defender for Cloud. |
| Aspect |
Details |
| Supporto proxy per traffico in uscita |
I proxy in uscita senza autenticazione e i proxy in uscita con autenticazione di base sono supportati. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato. |
Sistemi operativi host supportati
Defender per contenitori si basa sul sensore Defender per diverse funzionalità. Il sensore Defender è supportato solo con Linux Kernel 5.4 e versioni successive, nei sistemi operativi host seguenti:
- Amazon Linux 2
- CentOS 8 (CentOS è End Of Service a partire dal 30 giugno 2024). Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
- Debian 10
- Debian 11
- Sistema operativo ottimizzato per Google Container
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Verificare che il nodo Kubernetes sia in esecuzione in uno di questi sistemi operativi verificati. I cluster con sistemi operativi host non supportati non ottengono i vantaggi delle funzionalità che si basano sul sensore di Defender.
Limitazioni dei sensori di Defender
Il sensore Defender in AKS V1.28 e versioni successive non è supportato sui nodi Arm64.
Next steps