Поделиться через


Матрица поддержки контейнеров в Defender для облака

Внимание

Эта статья ссылается на CentOS, дистрибутив Linux, который является концом жизни (EOL) по состоянию на 30 июня 2024 года. Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.

В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для облака.

Примечание.

  • Конкретные функции доступны в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
  • Только версии AKS, EKS и GKE, поддерживаемые поставщиком облачных служб, официально поддерживаются Defender для облака.

Azure

Ниже приведены функции для каждого из доменов в Defender для контейнеров:

Управление состоянием безопасности

Возможность Description Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows Метод Enablement Sensor Планы Доступность облаков Azure
Обнаружение без агента для Kubernetes Обеспечивает нулевое пространство, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. AKS Общедоступная версия Общедоступная версия Включение обнаружения без агента в kubernetes переключатель Безагентное Защитник для контейнеров ИЛИ CSPM Defender Коммерческие облака Azure
Комплексные возможности инвентаризации Позволяет просматривать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими. ACR, AKS Общедоступная версия Общедоступная версия Включение обнаружения без агента в kubernetes переключатель Безагентное Защитник для контейнеров ИЛИ CSPM Defender Коммерческие облака Azure
Анализ пути атаки Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование предоставляет пути, доступные для эксплойтов, которые злоумышленники могут использовать для нарушения среды. ACR, AKS Общедоступная версия Общедоступная версия Активировано с помощью плана Безагентное CSPM Defender (требуется, чтобы обнаружение без агента для Kubernetes было включено) Коммерческие облака Azure
Улучшенная охота на риск Позволяет администраторам безопасности активно искать проблемы с состоянием в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности. ACR, AKS Общедоступная версия Общедоступная версия Включение обнаружения без агента в kubernetes переключатель Безагентное Защитник для контейнеров ИЛИ CSPM Defender Коммерческие облака Azure
Усиление уровня управления Непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы. ACR, AKS Общедоступная версия Общедоступная версия Активировано с помощью плана Безагентное Бесплатно Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Защита плоскости данных Kubernetes Защита рабочих нагрузок контейнеров Kubernetes с рекомендациями. AKS Общедоступная версия - Включение переключателя Политика Azure для Kubernetes Политика Azure Бесплатно Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Docker CIS Тест Docker CIS Виртуальная машина, масштабируемый набор виртуальных машин Общедоступная версия - Включено с планом Агент Log Analytics План Defender для серверов 2 Коммерческие облака

Национальные облака: Azure для государственных организаций, Microsoft Azure под управлением 21Vianet

Оценка уязвимостей

Возможность Description Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows Метод Enablement Sensor Планы Доступность облаков Azure
Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) Оценка уязвимостей для образов в ACR ACR, частный ACR Общедоступная версия Общедоступная версия Включение переключателя оценки уязвимостей без агента Безагентное Defender для контейнеров или CSPM Defender Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Поддерживаемые пакеты среды выполнения на основе агента или агента (на основе Управление уязвимостями Microsoft Defender) Оценка уязвимостей для запуска образов в AKS AKS Общедоступная версия Общедоступная версия Включение переключателя оценки уязвимостей без агента Датчик OR/AND Defender без агента (требуется обнаружение без агента для Kubernetes) ИЛИ/AND Defender Defender для контейнеров или CSPM Defender Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet

Защита от угроз среды выполнения

Возможность Description Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows Метод Enablement Sensor Планы Доступность облаков Azure
Плоскость управления Обнаружение подозрительной активности для Kubernetes на основе аудита Kubernetes AKS Общедоступная версия Общедоступная версия Включено с планом Безагентное Defender для контейнеров Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Рабочая нагрузка Обнаружение подозрительных действий для Kubernetes для уровня кластера, уровня узла и уровня рабочей нагрузки AKS Общедоступная версия - Включение датчика Defender в Azure для переключения или развертывания датчиков Defender в отдельных кластерах Датчик Defender Defender для контейнеров Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure для Китая (21Vianet)

Развертывание и мониторинг

Возможность Description Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows Метод Enablement Sensor Планы Доступность облаков Azure
Обнаружение незащищенных кластеров Обнаружение кластеров Kubernetes, отсутствующих датчиков Defender AKS Общедоступная версия Общедоступная версия Включено с планом Безагентное Бесплатно Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Автоматическая подготовка датчика Defender Автоматическое развертывание датчика Defender AKS Общедоступная версия - Включение датчика Defender в Azure Безагентное Defender для контейнеров Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Политика Azure для автоматической подготовки Kubernetes Автоматическое развертывание датчика политики Azure для Kubernetes AKS Общедоступная версия - Включение переключателя политики Azure для Kubernetes Безагентное Бесплатно Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet

Поддержка реестров и образов для Azure — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender

Аспект Сведения
Реестры и образы Поддерживается
* Реестры ACR
* Реестры ACR, защищенные Приватный канал Azure (для частных реестров требуется доступ к доверенным службам)
* Образы контейнеров в формате Docker версии 2
* Изображения с спецификацией формата изображений Open Container Initiative (OCI)
Не поддерживается
* Супер-минималистские изображения, такие как образы с нуля Docker
в настоящее время не поддерживается
Операционные системы Поддерживается
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9. (CentOS — конец жизни (EOL) с 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (на основе Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Маринр 1-2
* Windows Server 2016, 2019, 2022
Языковые пакеты

Поддерживается
*Питон
* Node.js
*.СЕТЬ
*ЯВА
*Идти

Дистрибутивы и конфигурации Kubernetes для Azure — защита от угроз среды выполнения

Аспект Сведения
Распределения и конфигурации Kubernetes Поддерживается
* Служба Azure Kubernetes (AKS) с Kubernetes RBAC

Поддерживается с помощью Kubernetes с поддержкой Arc 1 2
* гибридный Служба Azure Kubernetes
* Kubernetes
* Обработчик AKS
* Azure Red Hat OpenShift

1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.

2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.

Примечание.

Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.

AWS

Домен Функция Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows На основе агента без агента или датчика Ценовая категория
Управление состоянием безопасности Обнаружение без агента для Kubernetes EKS Общедоступная версия Общедоступная версия Безагентное Защитник для контейнеров ИЛИ CSPM Defender
Управление состоянием безопасности Комплексные возможности инвентаризации ECR, EKS Общедоступная версия Общедоступная версия Безагентное Защитник для контейнеров ИЛИ CSPM Defender
Управление состоянием безопасности Анализ пути атаки ECR, EKS Общедоступная версия Общедоступная версия Безагентное Defender CSPM
Управление состоянием безопасности Улучшенная охота на риск ECR, EKS Общедоступная версия Общедоступная версия Безагентное Защитник для контейнеров ИЛИ CSPM Defender
Управление состоянием безопасности Docker CIS EC2 Общедоступная версия - Агент Log Analytics План Defender для серверов 2
Управление состоянием безопасности Усиление уровня управления - - - - -
Управление состоянием безопасности Усиление защиты для плоскости данных Kubernetes EKS Общедоступная версия - Политика Azure для Kubernetes Defender для контейнеров
Оценка уязвимостей Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) ECR Общедоступная версия Общедоступная версия Безагентное Defender для контейнеров или CSPM Defender
Оценка уязвимостей Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) EKS Общедоступная версия Общедоступная версия Датчик без агента ИЛИ/AND Defender Defender для контейнеров или CSPM Defender
защиты среды выполнения; Уровень управления EKS Общедоступная версия Общедоступная версия Безагентное Defender для контейнеров
защиты среды выполнения; Рабочая нагрузка EKS Общедоступная версия - Датчик Defender Defender для контейнеров
Развертывание и мониторинг Обнаружение незащищенных кластеров EKS Общедоступная версия Общедоступная версия Безагентное Defender для контейнеров
Развертывание и мониторинг Автоматическая подготовка датчика Defender EKS Общедоступная версия - - -
Развертывание и мониторинг Автоматическая подготовка Политика Azure для Kubernetes EKS Общедоступная версия - - -

Поддержка реестров и образов для AWS — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender

Аспект Сведения
Реестры и образы Поддерживается
* Реестры ECR
* Образы контейнеров в формате Docker версии 2
* Изображения с спецификацией формата изображений Open Container Initiative (OCI)
Не поддерживается
* Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые
* Общедоступные репозитории
* Списки манифестов
Операционные системы Поддерживается
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS — конец жизни (EOL) по состоянию на 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (на основе Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Маринр 1-2
* Windows Server 2016, 2019, 2022
Языковые пакеты

Поддерживается
*Питон
* Node.js
*.СЕТЬ
*ЯВА
*Идти

Поддержка дистрибутивов и конфигураций Kubernetes для AWS — защита от угроз среды выполнения

Аспект Сведения
Распределения и конфигурации Kubernetes Поддерживается
* Amazon Elastic Kubernetes Service (EKS)

Поддерживается с помощью Kubernetes с поддержкой Arc 1 2
* Kubernetes
Не поддерживается
* Частные кластеры EKS

1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.

2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.

Примечание.

Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.

Поддержка исходящего прокси-сервера — AWS

Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.

Кластеры с ограничениями IP-адресов — AWS

Если кластер Kubernetes в AWS имеет ограничения IP-адресов уровня управления (см. раздел "Управление доступом к конечной точке кластера Amazon EKS" Amazon EKS), конфигурация ограничения IP-адресов плоскости управления обновляется, чтобы включить блок CIDR Microsoft Defender для облака.

GCP

Домен Функция Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows На основе агента без агента или датчика Ценовая категория
Управление состоянием безопасности Обнаружение без агента для Kubernetes GKE Общедоступная версия Общедоступная версия Безагентное Защитник для контейнеров ИЛИ CSPM Defender
Управление состоянием безопасности Комплексные возможности инвентаризации GAR, GCR, GKE Общедоступная версия Общедоступная версия Безагентное Защитник для контейнеров ИЛИ CSPM Defender
Управление состоянием безопасности Анализ пути атаки GAR, GCR, GKE Общедоступная версия Общедоступная версия Безагентное Defender CSPM
Управление состоянием безопасности Улучшенная охота на риск GAR, GCR, GKE Общедоступная версия Общедоступная версия Безагентное Защитник для контейнеров ИЛИ CSPM Defender
Управление состоянием безопасности Docker CIS Виртуальные машины GCP Общедоступная версия - Агент Log Analytics План Defender для серверов 2
Управление состоянием безопасности Усиление уровня управления GKE Общедоступная версия Общедоступная версия Безагентное Бесплатно
Управление состоянием безопасности Усиление защиты для плоскости данных Kubernetes GKE Общедоступная версия - Политика Azure для Kubernetes Defender для контейнеров
Оценка уязвимостей Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) GAR, GCR Общедоступная версия Общедоступная версия Безагентное Defender для контейнеров или CSPM Defender
Оценка уязвимостей Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) GKE Общедоступная версия Общедоступная версия Датчик без агента ИЛИ/AND Defender Defender для контейнеров или CSPM Defender
защиты среды выполнения; Уровень управления GKE Общедоступная версия Общедоступная версия Безагентное Defender для контейнеров
защиты среды выполнения; Рабочая нагрузка GKE Общедоступная версия - Датчик Defender Defender для контейнеров
Развертывание и мониторинг Обнаружение незащищенных кластеров GKE Общедоступная версия Общедоступная версия Безагентное Defender для контейнеров
Развертывание и мониторинг Автоматическая подготовка датчика Defender GKE Общедоступная версия - Безагентное Defender для контейнеров
Развертывание и мониторинг Автоматическая подготовка Политика Azure для Kubernetes GKE Общедоступная версия - Безагентное Defender для контейнеров

Поддержка реестров и образов для GCP — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender

Аспект Сведения
Реестры и образы Поддерживается
* Реестры Google (GAR, GCR)
* Образы контейнеров в формате Docker версии 2
* Изображения с спецификацией формата изображений Open Container Initiative (OCI)
Не поддерживается
* Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые
* Общедоступные репозитории
* Списки манифестов
Операционные системы Поддерживается
* Alpine Linux 3.12-3.19
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS — конец жизни (EOL) по состоянию на 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (на основе Debian GNU/Linux 7-12)
* Ubuntu 12.04-22.04
* Fedora 31-37
* Маринр 1-2
* Windows Server 2016, 2019, 2022
Языковые пакеты

Поддерживается
*Питон
* Node.js
*.СЕТЬ
*ЯВА
*Идти

Поддержка дистрибутивов и конфигураций Kubernetes для GCP — защита от угроз среды выполнения

Аспект Сведения
Распределения и конфигурации Kubernetes Поддерживается
* Google Kubernetes Engine (GKE) Standard

Поддерживается с помощью Kubernetes с поддержкой Arc 1 2
* Kubernetes

Не поддерживается
* Кластеры частной сети
* GKE autopilot
* GKE AuthorizedNetworksConfig

1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.

2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.

Примечание.

Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.

Поддержка исходящего прокси-сервера — GCP

Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.

Кластеры с ограничениями IP-адресов — GCP

Если кластер Kubernetes в GCP имеет ограничения IP-адресов уровня управления (см. раздел "Добавление авторизованных сетей для доступа к плоскости управления| Google Kubernetes Engine (GKE) | Google Cloud ), конфигурация ограничения IP-адресов плоскости управления обновляется, чтобы включить блок CIDR Microsoft Defender для облака.

Локальные кластеры Kubernetes с поддержкой Arc

Домен Функция Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows На основе агента без агента или датчика Ценовая категория
Управление состоянием безопасности Docker CIS Виртуальные машины с поддержкой Arc Предварительный просмотр - Агент Log Analytics План Defender для серверов 2
Управление состоянием безопасности Усиление уровня управления - - - - -
Управление состоянием безопасности Усиление защиты для плоскости данных Kubernetes Кластеры K8s с поддержкой Arc Общедоступная версия - Политика Azure для Kubernetes Defender для контейнеров
защиты среды выполнения; Защита от угроз (уровень управления) Кластеры OpenShift с поддержкой Arc "Предварительная версия" "Предварительная версия" Датчик Defender Defender для контейнеров
защиты среды выполнения; Защита от угроз (рабочая нагрузка) Кластеры OpenShift с поддержкой Arc Предварительный просмотр - Датчик Defender Defender для контейнеров
Развертывание и мониторинг Обнаружение незащищенных кластеров Кластеры K8s с поддержкой Arc Предварительный просмотр - Безагентное Бесплатно
Развертывание и мониторинг Автоматическая подготовка датчика Defender Кластеры K8s с поддержкой Arc "Предварительная версия" "Предварительная версия" Безагентное Defender для контейнеров
Развертывание и мониторинг Автоматическая подготовка Политика Azure для Kubernetes Кластеры K8s с поддержкой Arc Предварительный просмотр - Безагентное Defender для контейнеров

Внешние реестры контейнеров

Домен Функция Поддерживаемые ресурсы Состояние выпуска Linux Состояние выпуска Windows На основе агента без агента или датчика Ценовая категория
Управление состоянием безопасности Комплексные возможности инвентаризации Docker Hub , Jfrog Artifactory "Предварительная версия" "Предварительная версия" Безагентное Базовый CSPM OR Defender для контейнеров ИЛИ CSPM Defender
Управление состоянием безопасности Анализ пути атаки Docker Hub , Jfrog Artifactory "Предварительная версия" "Предварительная версия" Безагентное Defender CSPM
Оценка уязвимостей Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) Docker Hub , JfFrog Artifactory "Предварительная версия" "Предварительная версия" Безагентное Защитник для контейнеров ИЛИ CSPM Defender
Оценка уязвимостей Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) Docker Hub , Jfrog Artifactory "Предварительная версия" "Предварительная версия" Датчик без агента ИЛИ/AND Defender Защитник для контейнеров ИЛИ CSPM Defender

Распределения и конфигурации Kubernetes

Аспект Сведения
Распределения и конфигурации Kubernetes Поддерживается с помощью Kubernetes с поддержкой Arc 1 2
* гибридный Служба Azure Kubernetes
* Kubernetes
* Обработчик AKS
* Azure Red Hat OpenShift
* Red Hat OpenShift версии 4.6 или более новой
* VMware Tanzu Kubernetes Grid
* Rancher Kubernetes Engine

1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.

2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.

Примечание.

Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.

Поддерживаемые операционные системы сервера виртуальных машин

Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux 5.4 и выше в следующих операционных системах узла:

  • Amazon Linux 2
  • CentOS 8 (CentOS — конец жизни(EOL) с 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.)
  • Debian 10
  • Debian 11
  • ОС Google, оптимизированная для контейнеров
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Убедитесь, что узел Kubernetes запущен на одном из этих проверенных операционных систем. Кластеры с неподдерживаемые операционные системы узла не получают преимущества функций, основанных на датчике Defender.

Ограничения датчика Defender

Датчик Defender в AKS версии 1.28 и ниже не поддерживается на узлах Arm64.

Сетевые ограничения

Поддержка прокси-сервера для исходящих подключений

Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.

Следующие шаги