Caution
Эта статья ссылается на CentOS, дистрибутив Linux, который достиг окончания службы 30 июня 2024 года. Думайте об использовании и планировании соответствующим образом. Для получения дополнительной информации смотрите руководство по окончанию поддержки CentOS.
Это важно
Все функции Microsoft Defender для облака официально будут сняты в Azure в китайском регионе 18 августа 2026 года. Из-за предстоящего выхода на пенсию клиенты Azure в Китае больше не смогут подключить новые подписки к службе. Новая подписка — это любая подписка, которая еще не была подключена к облачной службе Microsoft Defender до 18 августа 2025 года, дата объявления о выходе на пенсию. Дополнительные сведения об устаревании см. в объявлении “Microsoft Defender for Cloud Deprecation в Microsoft Azure, управляемой 21Vianet”.
Клиенты должны работать с представителями своих аккаунтов Microsoft Azure, управляемой компанией 21Vianet, чтобы оценить влияние этого прекращения на их собственные операции.
В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для Облака.
Note
- Некоторые функции находятся на этапе предварительного просмотра. Дополнительные условия предварительного просмотра Azure включают другие юридические условия, которые применяются к функциям Azure, находящимся в стадии бета-тестирования, предварительного просмотра или иначе еще не выпущенным для общего доступа.
- Defender для Облака официально поддерживает только версии AKS, EKS и GKE, поддерживаемые поставщиком облака.
В следующей таблице перечислены функции, предоставляемые Defender для контейнеров для поддерживаемых облачных сред и реестров контейнеров.
Доступность плана Microsoft Defender для контейнеров
Особенности оценки уязвимости (VA)
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
VA для изображений в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру1 или создание соединителя для Docker Hub/JFrog |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру1 или создание соединителя для Docker Hub или JFrog, а также для доступа к API K8S или датчика Defender1 |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| VA контейнера среды выполнения |
Реестр независимый VA изображений, работающих в контейнере |
All |
GA |
- |
Требуется безагентное сканирование для машин и либо доступ к API K8S, либо сенсор Defender1 |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
1Национальные облака автоматически включены и не могут быть отключены.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
AWS |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или CSPM Defender |
AWS |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
GCP |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или CSPM Defender |
GCP |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
Кластеры с подключением Arc |
Поддержка реестров и образов для оценки уязвимостей
| Aspect |
Details |
| Реестры и изображения |
Supported
* Контейнерные образы в формате Docker V2
* Изображения с спецификацией формата изображения Open Container Initiative (OCI)
Unsupported
* Супер-минималистичные образы, такие как образы Docker scratch, в настоящее время не поддерживаются
* Публичные репозитории
* Списки манифеста
|
| Операционные системы |
Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (Поддержка CentOS завершится 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению срока службы CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (на основе Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS
* Альма Linux 8.4 или более поздней версии
* Рокки Linux 8.7 или более поздней версии |
Пакеты, специфичные для языка
|
Supported
*Питон
* Node.js
*PHP
*Рубин
*Ржавчина
*.СЕТЬ
*Ява
*Идти |
Функции защиты во время выполнения
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
AKS |
GA |
GA |
Активировано по плану |
Defender для контейнеров |
Коммерческие облака, Национальные облака: Azure Government, Azure, управляемая 21Vianet |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
AKS |
GA |
- |
Требуется Defender sensor |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
AKS |
GA |
- |
Требуется Defender sensor |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение DNS |
Возможности обнаружения DNS |
AKS |
Preview |
|
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
AKS |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
AKS |
Preview |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
Узлы AKS |
GA |
GA |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов, план 2 |
Коммерческие облака |
Распределения и конфигурации Kubernetes для защиты от угроз во время выполнения в Azure
1 Все сертифицированные кластеры Kubernetes с сертификатом Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
EKS |
GA |
GA |
Активировано по плану |
Defender для контейнеров |
AWS |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
EKS |
GA |
- |
Требуется Defender sensor |
Defender для контейнеров |
AWS |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
EKS |
GA |
- |
Требуется Defender sensor |
Defender для контейнеров |
AWS |
| Обнаружение DNS |
Возможности обнаружения DNS |
EKS |
Preview |
|
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
AWS |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
EKS |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender для контейнеров |
AWS |
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
EKS |
Preview |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
AWS |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Поддержка дистрибутивов и конфигураций Kubernetes для защиты от угроз среды выполнения в AWS
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
GKE |
GA |
GA |
Активировано по плану |
Defender для контейнеров |
GCP |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
GKE |
GA |
- |
Требуется Defender sensor |
Defender для контейнеров |
GCP |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
GKE |
GA |
- |
Требуется Defender sensor |
Defender для контейнеров |
GCP |
| Обнаружение DNS |
Возможности обнаружения DNS |
GKE |
Preview |
|
Требуется датчик Defender с помощью Helm |
Defender для контейнеров |
GCP |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
GKE |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender для контейнеров |
GCP |
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
GKE |
Preview |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
GCP |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Поддержка дистрибутивов и конфигураций Kubernetes для защиты от угроз среды выполнения в GCP
| Aspect |
Details |
| Дистрибутивы и конфигурации Kubernetes |
Supported
Google Kubernetes Engine (GKE) Standard
Поддерживается через Kubernetes с включенным Arc12
Kubernetes
Unsupported
Кластеры частной сети
GKE Autopilot (автопилот)
* GKE AuthorizedNetworksConfig (Настройки Авторизованных Сетей) |
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
Кластеры Kubernetes с поддержкой Arc |
Preview |
Preview |
Требуется Defender sensor |
Defender для контейнеров |
|
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
Кластеры Kubernetes с поддержкой Arc |
Preview |
- |
Требуется Defender sensor |
Defender для контейнеров |
|
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
|
- |
- |
- |
- |
- |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
Кластеры Kubernetes с поддержкой Arc |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Требуется Defender sensor |
Defender для контейнеров |
|
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
- |
- |
- |
- |
- |
- |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Дистрибутивы и конфигурации Kubernetes для защиты от угроз среды выполнения в Kubernetes с поддержкой Arc
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Функции управления состоянием безопасности
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
|
Бесагентное обнаружение для Kubernetes1 |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
AKS |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ACR, AKS |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
ACR, AKS |
GA |
GA |
Требуется K8S API access |
CSPM в Защитнике |
Azure коммерческие облака |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ACR, AKS |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
|
Усиление плоскости управления1 |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
ACR, AKS |
GA |
GA |
Активировано по плану |
Free |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
|
Ужесточение рабочей нагрузки1 |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
AKS |
GA |
- |
Требуется политика Azure |
Free |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
AKS |
GA |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Коммерческие облака
|
1 Эта функция может быть включена для отдельного кластера при включении Defender для контейнеров на уровне ресурса кластера.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
EKS |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ECR, EKS |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
ECR, EKS |
GA |
GA |
Требуется K8S API access |
Defender CSPM (требует включения обнаружения без агента для Kubernetes) |
AWS |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ECR, EKS |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
EKS |
GA |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Free |
AWS |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
EKS |
GA |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
GKE |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
GCR, GAR, GKE |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
GCR, GAR, GKE |
GA |
GA |
Требуется K8S API access |
CSPM в Защитнике |
GCP |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
GCR, GAR, GKE |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
GKE |
GA |
GA |
Активировано с планом |
Free |
GCP |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
GKE |
GA |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Free |
GCP |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
GKE |
GA |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
- |
- |
- |
- |
- |
- |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
- |
- |
- |
- |
- |
- |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
- |
- |
- |
- |
- |
- |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
- |
- |
- |
- |
- |
- |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
Кластер Kubernetes с поддержкой Arc |
GA |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Защитник для контейнеров |
Кластер Kubernetes с поддержкой Arc |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
Виртуальные машины с поддержкой Arc |
Preview |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Кластер Kubernetes с поддержкой Arc |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Создание соединителя |
Базовый CSPM ИЛИ Защитник CSPM ИЛИ Защитник для контейнеров |
- |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Создание соединителя |
CSPM в Защитнике |
- |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
Docker Hub, JFrog |
GA |
GA |
Создание соединителя |
Защитник для контейнеров ИЛИ Защитник CSPM |
|
Функции защиты цепочки поставок программного обеспечения для контейнеров
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
AKS 1.31 или более поздней версии, Реестр контейнеров Azure (ACR) |
GA |
GA |
Требуется датчик Defender, контроль доступа, выводы о безопасности и доступ к реестру |
Defender для контейнеров |
Коммерческие облака |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
EKS 1.31 или более поздней версии, Реестр контейнеров Amazon Elastic (ECR) |
GA |
GA |
Требуется датчик Defender, контроль доступа, выводы о безопасности и доступ к реестру |
Defender для контейнеров |
AWS |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
GKE 1.31 или более поздней версии, Реестр артефактов Google |
GA |
GA |
Требуется датчик Defender, контроль доступа, выводы о безопасности и доступ к реестру |
Defender для контейнеров |
GCP |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод Enablement |
Plans |
Доступность облачных служб |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
Кластеры Kubernetes с поддержкой Arc |
Preview |
Preview |
Требуется датчик Defender, контроль доступа, выводы о безопасности и доступ к реестру |
Defender для контейнеров |
- |
Ограничения сети
| Aspect |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в вашем кластере Kubernetes в AWS включены ограничения на IP-адреса плоскости управления (см. Управление доступом к конечным точкам кластера Amazon EKS - Amazon EKS), конфигурация ограничений IP-адресов плоскости управления обновляется, чтобы включать CIDR-блок Microsoft Defender для облака. |
| Aspect |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в вашем кластере Kubernetes в GCP включены ограничения IP для контрольной плоскости (см. GKE - Добавление авторизованных сетей для доступа к контрольной плоскости), конфигурация ограничения IP для контрольной плоскости обновляетcя для включения CIDR-блока Microsoft Defender for Cloud. |
| Aspect |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
Поддерживаемые операционные системы хоста
Defender для контейнеров полагается на датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux версии 5.4 и выше на следующих операционных системах хоста:
- Amazon Linux 2
- CentOS 8 (CentOS достигла конца службы 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.)
- Debian 10
- Debian 11
- Google Container-Optimized OS (Операционная система, оптимизированная для контейнеров)
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Убедитесь, что узел Kubernetes работает в одной из этих проверенных операционных систем. Кластеры с неподдерживаемыми операционными системами узлов не получают преимущества от функций, использующих датчик Defender.
Ограничения сенсора Defender
Датчик Defender в AKS версии 1.28 и более ранних версиях не поддерживает узлы Arm64.
Дальнейшие шаги