Осторожно
В этой статье упоминается CentOS, Linux-дистрибуция, которая снята с обслуживания с 30 июня 2024 года. Пожалуйста, учитывайте ваше использование и планирование соответствующим образом. Для получения дополнительной информации смотрите руководство по окончанию поддержки CentOS.
Эта статья обобщает информацию о поддержке возможностей контейнеров в Microsoft Defender for Cloud.
Примечание
- Некоторые функции находятся на этапе предварительного просмотра. Дополнительные условия предварительного просмотра Azure включают другие юридические условия, которые применяются к функциям Azure, находящимся в стадии бета-тестирования, предварительного просмотра или иначе еще не выпущенным для общего доступа.
- Только версии AKS, EKS и GKE, поддерживаемые облачным провайдером, официально поддерживаются Defender for Cloud.
Ниже перечислены функции, предоставляемые Defender для контейнеров в поддерживаемых облачных средах и регистрах контейнеров.
Особенности оценки уязвимости (VA)
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Plans |
Доступность облаков |
| Репозиторий контейнеров VA |
VA для изображений в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
Генеральная Ассамблея |
Requires Registry access1 or Connector creation for Docker Hub/Jfrog |
Defender for Containers or Defender CSPM |
Коммерческие облака
National clouds: Azure Government, Azure operated by 21Vianet |
| Runtime container VA - Registry scan based |
VA of containers running images from supported registries |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру1 или создание соединителя для Docker Hub/Jfrog и либо доступ к API K8S, либо датчик Defender1 |
Defender for Containers или Defender CSPM |
Коммерческие облака
National clouds: Azure Government, Azure operated by 21Vianet |
| Runtime container VA |
Реестр независимый VA изображений, работающих в контейнере |
Все |
Preview |
- |
Требуется безагентное сканирование для машин и либо доступ к API K8S, либо сенсор Defender1 |
Defender for Containers или Defender CSPM |
Коммерческие облака
National clouds: Azure Government, Azure operated by 21Vianet |
1National clouds are automatically enabled and cannot be disabled.
| Feature |
Description |
Supported resources |
Linux release state |
Состояние выпуска Windows |
Метод активирования |
Планы |
Доступность облаков |
| Реестр контейнеров VA |
Vulnerability assessments for images in container registries |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Requires Registry access |
Defender for Containers or Defender CSPM |
AWS |
| Контейнер среды выполнения VA - Основанный на сканировании реестра |
Виртуализация контейнеров, выполняющих образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или Defender CSPM |
AWS |
| Функция |
Описание |
Supported resources |
Linux release state |
Состояние выпуска Windows |
Метод включения |
Plans |
Clouds availability |
| Реестр контейнеров VA |
Оценка уязвимостей изображений в контейнерных реестрах |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру |
Defender для контейнеров или Defender CSPM |
GCP (Google Cloud Platform) |
| Контейнер времени выполнения VA - на основе сканирования реестра |
VA of containers running images from supported registries |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Требуется безагентное сканирование для машин и либо доступ к API K8S, либо датчик Defender |
Defender for Containers или Defender CSPM |
GCP |
| Особенность |
Description |
Supported resources |
Состояние релиза Linux |
Статус выпуска Windows |
Метод активации |
Plans |
Доступность облаков |
| Container registry VA |
Vulnerability assessments for images in container registries |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
ГА |
GA |
Требуется доступ к реестру |
Defender for Containers (Защитник для контейнеров) или Defender CSPM |
Кластеры с подключением Arc |
| Контейнер времени выполнения VA - на основе сканирования реестра |
VA контейнеров, использующих образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Requires Agentless scanning for machines and either K8S API access or Defender sensor |
Defender for Containers or Defender CSPM |
Кластеры с подключением через дугу. |
Поддержка реестров и образов для оценки уязвимостей
| Аспект |
Подробности |
| Реестры и изображения |
Поддерживается
* Контейнерные образы в формате Docker V2
* Изображения с спецификацией формата изображения Open Container Initiative (OCI)
Unsupported
* Супер-минималистичные образы, такие как образы Docker scratch, в настоящее время не поддерживаются
* Публичные репозитории
* Списки манифеста
|
| Операционные системы |
Поддерживается
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (Поддержка CentOS завершится 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению срока службы CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (based on Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Azure Linux 1-2
* Windows server 2016, 2019, 2022 |
Пакеты, специфичные для языка
|
Поддерживается
* Python
* Node.js
* PHP
* Ruby
* Rust
* .NET
* Java
Го |
Функции защиты во время выполнения
| Функция |
Description |
Поддерживаемые ресурсы |
Linux release state |
Состояние выпуска Windows |
Enablement method |
Plans |
Доступность облаков |
| Control plane detection |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
АКС |
GA |
GA |
Enabled with plan |
Defender for Containers or Defender CSPM |
Коммерческие облака, Национальные облака: Azure Government, Azure, управляемая 21Vianet |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
АКС |
GA |
- |
Требуется Defender sensor |
Defender for Containers |
Commercial clouds and National clouds: Azure Government, Azure operated by 21Vianet |
| Обнаружение двоичного смещения |
Detects binary of runtime container from container image |
АКС |
Генеральная Ассамблея |
- |
Requires Defender sensor |
Защитник для Контейнеров |
Коммерческие облака |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
AKS |
Preview - currently supports audit logs & process events |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется датчик Defender |
Защитник для контейнеров |
Коммерческие облака и национальные облака: Azure Government, Azure, управляемый компанией 21Vianet |
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
AKS |
Предпросмотр |
- |
Требуется датчик Defender и API доступа K8S |
Защитник для контейнеров |
Коммерческие облака и национальные облака: Azure Government, Azure, управляемый компанией 21Vianet |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
AKS nodes |
GA |
ГА |
Requires Agentless scanning for machines |
Defender for Containers or Defender for Servers Plan 2 |
Коммерческие облака |
Распределения и конфигурации Kubernetes для защиты от угроз во время выполнения в Azure
1 Any Cloud Native Computing Foundation (CNCF) certified Kubernetes clusters should be supported, but only the specified clusters have been tested on Azure.
2 To get Microsoft Defender for Containers protection for your environments, you need to onboard Azure Arc-enabled Kubernetes and enable Defender for Containers as an Arc extension.
| особенность |
Description |
Supported resources |
Статус выпуска Linux |
Состояние выпуска Windows |
Метод включения |
Планы |
Clouds availability |
| Control plane detection |
Detection of suspicious activity for Kubernetes based on Kubernetes audit trail |
EKS |
ГА |
GA |
Enabled with plan |
Defender for Containers or Defender CSPM |
AWS |
| Обнаружение нагрузки |
Отслеживает контейнеризированные рабочие нагрузки на предмет угроз и предупреждает о подозрительных действиях. |
EKS |
GA |
- |
Требуется датчик Defender |
Защитник для контейнеров |
AWS |
| Обнаружение двоичного смещения |
Обнаруживает бинарный файл контейнера времени исполнения из образа контейнера |
EKS |
GA |
- |
Требуется датчик Defender |
Защитник для контейнеров |
AWS |
| Расширенные методы обнаружения в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
EKS |
Предварительная версия - в настоящее время поддерживает журналы аудита и события процессов |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender for Containers |
AWS |
| Response actions in XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
EKS |
Preview |
- |
Требует датчик Defender и доступ к API K8S |
Defender for Containers |
AWS |
| Обнаружение вредоносных программ |
Detection of malware |
- |
- |
- |
- |
- |
- |
Поддержка дистрибутивов/конфигураций Kubernetes для защиты от угроз во время выполнения в AWS
1 Должна поддерживаться любая сертифицированная Cloud Native Computing Foundation (CNCF) кластер Kubernetes, но проверены только указанные кластеры.
2 Чтобы получить защиту своих сред с помощью Microsoft Defender for Containers, необходимо подключить Azure Arc-enabled Kubernetes и включить Defender for Containers в качестве расширения Arc.
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние выпуска Linux |
Windows release state |
Метод включения |
Планы |
Доступность облаков |
| Обнаружение управляющей плоскости |
Выявление подозрительной активности в Kubernetes на основе журнала аудита Kubernetes |
GKE |
ГА |
GA |
Активировано с планом |
Защитник контейнеров |
GCP |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет предупреждения о подозрительной активности. |
GKE |
GA |
- |
Requires Defender sensor |
Защитник для контейнеров |
GCP |
| Обнаружение двоичного смещения |
Обнаруживает двоичный файл контейнера времени выполнения из образа контейнера |
GKE |
GA |
- |
Требуется Defender sensor |
Защитник для контейнеров |
GCP |
| Продвинутый поиск в XDR |
Просмотр инцидентов и уведомлений кластера в Microsoft XDR |
GKE |
Preview - currently supports audit logs & process events |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender for Containers |
GCP (Google Cloud Platform) |
| Действия по реагированию в XDR |
Предоставляет автоматическое и ручное восстановление в Microsoft XDR |
GKE |
Preview |
- |
Требуются Defender sensor и K8S access API |
Защитник для контейнеров |
GCP (Google Cloud Platform) |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Поддержка дистрибутивов/конфигураций Kubernetes для защиты от угроз в реальном времени на GCP
| Аспект |
Подробности |
| Распределения и конфигурации Kubernetes |
Поддерживаемый
*
Google Kubernetes Engine (GKE) Standard
Поддерживается через включенный Arc Kubernetes12
*
Kubernetes
Unsupported
* Кластеры частной сети
* GKE автопилот
* GKE AuthorizedNetworksConfig |
1 Любые кластерные системы Kubernetes, сертифицированные Cloud Native Computing Foundation (CNCF), должны поддерживаться, но тестировались только указанные кластеры.
2 Чтобы обеспечить защиту Microsoft Defender для контейнеров ваших сред, вам необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров как расширение Arc.
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние выпуска Linux |
Состояние выпуска Windows |
Метод активации |
Планы |
Доступность облаков |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности для Kubernetes на основе аудита Kubernetes |
Кластеры Kubernetes с поддержкой Arc |
Предварительный просмотр |
Предварительный просмотр |
Требуется сенсор Defender |
Защитник для контейнеров |
|
| Workload detection |
Контролирует контейнеризированные рабочие нагрузки на наличие угроз и выдает уведомления о подозрительных действиях. |
Кластеры Kubernetes с поддержкой Arc |
Preview |
- |
Требуется Defender sensor |
Defender for Containers |
|
| Обнаружение двоичного смещения |
Detects binary of runtime container from container image |
|
- |
- |
- |
- |
- |
| Продвинутая охота в XDR |
Просмотр инцидентов и оповещений в кластере Microsoft XDR |
Кластеры Kubernetes с поддержкой Arc |
Предварительная версия - на данный момент поддерживает аудит логов и процессы событий |
Предварительный просмотр - в настоящее время поддерживает журналы аудита и события процесса. |
Требуется датчик Defender |
Defender for Containers |
|
| Response actions in XDR |
Provides automated and manual remediation in Microsoft XDR |
- |
- |
- |
- |
- |
|
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Дистрибутивы/конфигурации Kubernetes для защиты от угроз в реальном времени в Kubernetes, поддерживающих Arc
1 Any Cloud Native Computing Foundation (CNCF) certified Kubernetes clusters should be supported, but only the specified clusters have been tested.
2 To get Microsoft Defender for Containers protection for your environments, you need to onboard Azure Arc-enabled Kubernetes and enable Defender for Containers as an Arc extension.
Примечание
Для получения дополнительных требований по защите нагрузки Kubernetes см. existing limitations.
Функции управления состоянием безопасности
| Особенность |
Description |
Supported resources |
Состояние выпуска Linux |
Состояние выпуска Windows |
Метод включения |
Планы |
Доступность облаков |
|
Бесагентное обнаружение для Kubernetes1 |
Provides zero footprint, API-based discovery of Kubernetes clusters, their configurations and deployments. |
АКС |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ACR, AKS |
GA |
GA |
Требуется доступ к API K8S |
Defender for Containers OR Defender CSPM |
коммерческие облака Azure |
| Анализ путей атаки |
A graph-based algorithm that scans the cloud security graph. Сканирования выявляют уязвимые пути, которые атакующие могут использовать для проникновения в вашу среду. |
ACR, AKS |
GA |
GA |
Requires K8S API access |
Defender CSPM |
Azure commercial clouds |
| Усовершенствованное выявление рисков |
Enables security admins to actively hunt for posture issues in their containerized assets through queries (built-in and custom) and security insights in the security explorer. |
ACR, AKS |
GA |
GA |
Requires K8S API access |
Defender for Containers OR Defender CSPM |
Azure commercial clouds |
|
Control plane hardening1 |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
ACR, AKS |
GA |
GA |
Enabled with plan |
Бесплатно |
Commercial clouds
Национальные облака: Azure Government, Azure, управляемый компанией 21Vianet |
|
Укрепление нагрузки1 |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
AKS |
Генеральная Ассамблея |
- |
Requires Azure Policy |
Бесплатно |
Коммерческие облака
Национальные облака: Azure Government, Azure управляемый компанией 21Vianet |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
AKS |
GA |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Коммерческие облака
|
1 This feature can be enabled for an individual cluster when enabling Defender for Containers at the cluster resource level.
| Feature |
Описание |
Поддерживаемые ресурсы |
Linux release state |
Windows release state |
Метод обеспечения |
Планы |
Доступность облаков |
|
Безагентное обнаружение для Kubernetes |
Обеспечивает безупречное обнаружение кластеров Kubernetes на основе API, их конфигураций и развертываний. |
EKS |
GA |
GA |
Требуется доступ к API K8S |
Defender for Containers OR Defender CSPM |
коммерческие облака Azure |
| Всеобъемлющие возможности инвентаризации |
Позволяет вам изучать ресурсы, поды, сервисы, репозитории, образы и конфигурации через Security Explorer для легкого мониторинга и управления вашими активами. |
ECR, EKS |
GA |
GA |
Требуется доступ к API K8S |
Defender for Containers OR Defender CSPM |
AWS |
| Анализ пути атаки |
Алгоритм, основанный на графах, который сканирует граф безопасности облака. Сканирования выявляют уязвимые пути, которые злоумышленники могут использовать для проникновения в вашу среду. |
ECR, EKS |
GA |
GA |
Требуется доступ к API K8S |
Defender CSPM (требует включения обнаружения без агента для Kubernetes) |
AWS |
| Усиленная охота на риски |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в их контейнеризованных ресурсах с помощью запросов (встроенных и пользовательских) и аналитики безопасности в проводнике безопасности. |
ECR, EKS |
GA |
GA |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
|
Control plane hardening |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда обнаруживаются неправильные конфигурации, Defender for Cloud генерирует рекомендации по безопасности, которые доступны на странице рекомендаций Defender for Cloud. Рекомендации позволяют вам исследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Workload hardening |
Защитите рабочие нагрузки контейнеров Kubernetes, следуя рекомендациям по лучшим практикам. |
EKS |
GA |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Бесплатно |
AWS |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
EKS |
GA |
- |
Назначен как стандарт безопасности |
Defender for Containers OR Defender CSPM |
AWS |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние выпуска Linux |
Состояние выпуска Windows |
Способ активации |
Планы |
Доступность облаков |
|
Безагентное обнаружение для Kubernetes |
Обеспечивает обнаружение кластеров Kubernetes, их конфигураций и развертываний на базе API без следов. |
GKE |
Генеральная Ассамблея |
GA |
Требуется доступ к API K8S |
Defender for Containers ИЛИ Defender CSPM |
Google Cloud Platform (GCP) |
| Всеобъемлющие возможности управления запасами |
Enables you to explore resources, pods, services, repositories, images, and configurations through security explorer to easily monitor and manage your assets. |
GCR, GAR, GKE |
GA |
ГА |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
| Анализ пути атаки |
Алгоритм на основе графа, который сканирует граф безопасности облака. Сканирование выявляет эксплуатируемые пути, которые злоумышленники могут использовать для взлома вашей системы. |
GCR, GAR, GKE |
GA |
GA |
Требуется доступ к API K8S |
Defender CSPM |
GCP |
| Повышенное выявление и управление рисками |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в их контейнеризированных ресурсах с помощью запросов (встроенных и пользовательских) и анализа безопасности в обозревателе безопасности. |
GCR, GAR, GKE |
GA |
GA |
Требуется доступ к API K8S |
Защитник для контейнеров ИЛИ Защитник CSPM |
Платформа Google Cloud (GCP) |
|
Укрепление плоскости управления |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, применёнными к вашим подпискам. When it finds misconfigurations, Defender for Cloud generates security recommendations that are available on Defender for Cloud's Recommendations page. Рекомендации позволяют вам исследовать и устранять проблемы. |
GKE |
ГА |
GA |
Активировано с планом |
Бесплатно |
GCP (Google Cloud Platform) |
|
Укрепление рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes, используя рекомендации по лучшим практикам. |
GKE |
GA |
- |
Требуется Auto provision Azure Policy extension for Azure Arc |
Бесплатно |
Платформа облачных вычислений Google (GCP) |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
GKE |
ГА |
- |
Назначено в качестве стандарта безопасности |
Defender for Containers OR Defender CSPM |
GCP |
| Функция |
Описание |
Поддерживаемые ресурсы |
Linux release state |
Состояние выпуска Windows |
Enablement method |
Планы |
Доступность облаков |
|
Безагентное обнаружение для Kubernetes |
Provides zero footprint, API-based discovery of Kubernetes clusters, their configurations and deployments. |
- |
- |
- |
- |
- |
- |
| Всеобъемлющие возможности управления запасами |
Позволяет исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer, чтобы легко отслеживать и управлять вашими активами. |
- |
- |
- |
- |
- |
- |
| Анализ пути атаки |
Алгоритм на основе графов, который сканирует граф безопасности облака. Сканирования выявляют пути эксплуатации, которые злоумышленники могут использовать, чтобы проникнуть в вашу среду. |
- |
- |
- |
- |
- |
- |
| Улучшенная охота за рисками |
Обеспечивает администраторам безопасности возможность активно искать проблемы с конфигурацией в их контейнеризованных активах с помощью запросов (встроенных и пользовательских) и аналитики безопасности в обозревателе безопасности. |
- |
- |
- |
- |
- |
- |
|
Укрепление управляющей плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда обнаруживает ошибки конфигурации, Defender for Cloud генерирует рекомендации по безопасности, которые доступны на странице Рекомендации Defender for Cloud. The recommendations let you investigate and remediate issues. |
- |
- |
- |
- |
- |
- |
|
Укрепление рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с рекомендациями по лучшим практикам. |
Кластер Kubernetes с поддержкой Arc |
GA |
- |
Требуется Auto provision Azure Policy extension for Azure Arc |
Защитник для контейнеров |
Кластер Kubernetes с поддержкой Arc |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
Arc enabled VMs |
Предпросмотр |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Arc enabled Kubernetes cluster |
| Feature |
Описание |
Поддерживаемые ресурсы |
Linux release state |
Состояние выпуска Windows |
Метод активации |
Планы |
Clouds availability |
| Комплексные возможности инвентаризации |
Позволяет исследовать ресурсы, поды, службы, репозитории, образы и конфигурации с помощью security explorer, чтобы легко отслеживать и управлять вашими активами. |
Docker Hub, JFrog Artifactory |
Preview |
Preview |
Создание соединителя |
Базовый CSPM ИЛИ Защитник CSPM ИЛИ Защитник для контейнеров |
- |
| Attack path analysis |
Алгоритм на основе графов, который сканирует граф безопасности облака. Сканирование выявляет уязвимые пути, которые злоумышленники могут использовать, чтобы проникнуть в вашу среду. |
Docker Hub, JFrog Artifactory |
Предпросмотр |
Предварительный просмотр |
Connector creation |
Defender CSPM |
- |
| Усиленная охота на риски |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в их контейнеризированных активах с помощью запросов (встроенных и пользовательских) и представлений по безопасности в обозревателе безопасности. |
Docker Hub, JFrog |
Предварительный просмотр |
Предварительный просмотр |
Создание соединителя |
Defender for Containers ИЛИ Defender CSPM |
|
Функции защиты цепочки поставок программного обеспечения для контейнеров
| Функция |
Описание |
Поддерживаемые ресурсы |
Linux release state |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облачных сервисов |
| Gated deployment |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
AKS 1.32 или выше |
Предварительный просмотр |
Preview |
Enabled with plan |
Defender for Containers or Defender CSPM |
Коммерческие облака Национальные облака: Azure Government, Azure в управлении 21Vianet |
| Feature |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
Метод активации |
Планы |
Clouds availability |
| Gated deployment |
Ограниченная установка образов контейнеров в вашу среду Kubernetes |
- |
- |
- |
- |
- |
- |
| Особенность |
Description |
Поддерживаемые ресурсы |
Состояние выпуска Linux |
Состояние выпуска Windows |
Метод активации |
Планы |
Доступность облаков |
| Gated deployment |
Gated deployment of container images to your Kubernetes environment |
- |
- |
- |
- |
- |
- |
| Функция |
Description |
Supported resources |
Состояние выпуска Linux |
Состояние выпуска Windows |
Метод активации |
Plans |
Clouds availability |
| Gated deployment |
Gated deployment of container images to your Kubernetes environment |
- |
- |
- |
- |
- |
- |
Network restrictions
| Aspect |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В данный момент исходящие прокси, ожидающие доверенные сертификаты, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в вашем кластере Kubernetes в AWS включены ограничения на IP-адреса плоскости управления (см. Управление доступом к конечным точкам кластера Amazon EKS - Amazon EKS), конфигурация ограничений IP-адресов плоскости управления обновляется, чтобы включать CIDR-блок Microsoft Defender для облака. |
| Аспект |
Details |
| Поддержка исходящего прокси |
Поддерживаются исходящие прокси без аутентификации и исходящие прокси с базовой аутентификацией. Outbound proxy that expects trusted certificates is currently not supported. |
| Clusters with IP restrictions |
Если в вашем кластере Kubernetes в GCP включены ограничения IP для контрольной плоскости (см. GKE - Добавление авторизованных сетей для доступа к контрольной плоскости), конфигурация ограничения IP для контрольной плоскости обновляетcя для включения CIDR-блока Microsoft Defender for Cloud. |
| Aspect |
Подробности |
| Поддержка исходящего прокси-сервера |
Поддерживаются исходящий прокси без аутентификации и исходящий прокси с базовой аутентификацией. Исходящий прокси, который ожидает доверенные сертификаты, в настоящее время не поддерживается. |
Поддерживаемые операционные системы хоста
Defender для контейнеров полагается на датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux версии 5.4 и выше на следующих операционных системах хоста:
- Amazon Linux 2
- CentOS 8 (Поддержка CentOS прекращается 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению жизненного цикла CentOS.)
- Debian 10
- Debian 11
- Google Container-Optimized OS (Операционная система, оптимизированная для контейнеров)
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Убедитесь, что ваш узел Kubernetes работает под управлением одной из этих проверенных операционных систем. Кластеры с неподдерживаемыми операционными системами на хостах не получают преимуществ от функций, зависящих от сенсора Defender.
Ограничения сенсора Defender
Датчик Defender в AKS версии 1.28 и ниже не поддерживается на узлах Arm64.
Следующие шаги