Матрица поддержки контейнеров в Defender для облака
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который является концом жизни (EOL) по состоянию на 30 июня 2024 года. Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для облака.
Примечание.
- Конкретные функции доступны в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
- Только версии AKS, EKS и GKE, поддерживаемые поставщиком облачных служб, официально поддерживаются Defender для облака.
Azure
Ниже приведены функции для каждого из доменов в Defender для контейнеров:
Управление состоянием безопасности
Возможность | Description | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | Метод Enablement | Sensor | Планы | Доступность облаков Azure |
---|---|---|---|---|---|---|---|---|
Обнаружение без агента для Kubernetes | Обеспечивает нулевое пространство, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. | AKS | Общедоступная версия | Общедоступная версия | Включение обнаружения без агента в kubernetes переключатель | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender | Коммерческие облака Azure |
Комплексные возможности инвентаризации | Позволяет просматривать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими. | ACR, AKS | Общедоступная версия | Общедоступная версия | Включение обнаружения без агента в kubernetes переключатель | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender | Коммерческие облака Azure |
Анализ пути атаки | Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование предоставляет пути, доступные для эксплойтов, которые злоумышленники могут использовать для нарушения среды. | ACR, AKS | Общедоступная версия | Общедоступная версия | Активировано с помощью плана | Безагентное | CSPM Defender (требуется, чтобы обнаружение без агента для Kubernetes было включено) | Коммерческие облака Azure |
Улучшенная охота на риск | Позволяет администраторам безопасности активно искать проблемы с состоянием в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности. | ACR, AKS | Общедоступная версия | Общедоступная версия | Включение обнаружения без агента в kubernetes переключатель | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender | Коммерческие облака Azure |
Усиление уровня управления | Непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы. | ACR, AKS | Общедоступная версия | Общедоступная версия | Активировано с помощью плана | Безагентное | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Защита плоскости данных Kubernetes | Защита рабочих нагрузок контейнеров Kubernetes с рекомендациями. | AKS | Общедоступная версия | - | Включение переключателя Политика Azure для Kubernetes | Политика Azure | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Docker CIS | Тест Docker CIS | Виртуальная машина, масштабируемый набор виртуальных машин | Общедоступная версия | - | Включено с планом | Агент Log Analytics | План Defender для серверов 2 | Коммерческие облака Национальные облака: Azure для государственных организаций, Microsoft Azure под управлением 21Vianet |
Оценка уязвимостей
Защита от угроз среды выполнения
Возможность | Description | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | Метод Enablement | Sensor | Планы | Доступность облаков Azure |
---|---|---|---|---|---|---|---|---|
Плоскость управления | Обнаружение подозрительной активности для Kubernetes на основе аудита Kubernetes | AKS | Общедоступная версия | Общедоступная версия | Включено с планом | Безагентное | Defender для контейнеров | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Рабочая нагрузка | Обнаружение подозрительных действий для Kubernetes для уровня кластера, уровня узла и уровня рабочей нагрузки | AKS | Общедоступная версия | - | Включение датчика Defender в Azure для переключения или развертывания датчиков Defender в отдельных кластерах | Датчик Defender | Defender для контейнеров | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure для Китая (21Vianet) |
Развертывание и мониторинг
Возможность | Description | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | Метод Enablement | Sensor | Планы | Доступность облаков Azure |
---|---|---|---|---|---|---|---|---|
Обнаружение незащищенных кластеров | Обнаружение кластеров Kubernetes, отсутствующих датчиков Defender | AKS | Общедоступная версия | Общедоступная версия | Включено с планом | Безагентное | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Автоматическая подготовка датчика Defender | Автоматическое развертывание датчика Defender | AKS | Общедоступная версия | - | Включение датчика Defender в Azure | Безагентное | Defender для контейнеров | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Политика Azure для автоматической подготовки Kubernetes | Автоматическое развертывание датчика политики Azure для Kubernetes | AKS | Общедоступная версия | - | Включение переключателя политики Azure для Kubernetes | Безагентное | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Поддержка реестров и образов для Azure — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
Аспект | Сведения |
---|---|
Реестры и образы | Поддерживается * Реестры ACR * Реестры ACR, защищенные Приватный канал Azure (для частных реестров требуется доступ к доверенным службам) * Образы контейнеров в формате Docker версии 2 * Изображения с спецификацией формата изображений Open Container Initiative (OCI) Не поддерживается * Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время не поддерживается |
Операционные системы | Поддерживается * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9. (CentOS — конец жизни (EOL) с 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (на основе Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Маринр 1-2 * Windows Server 2016, 2019, 2022 |
Языковые пакеты |
Поддерживается *Питон * Node.js *.СЕТЬ *ЯВА *Идти |
Дистрибутивы и конфигурации Kubernetes для Azure — защита от угроз среды выполнения
Аспект | Сведения |
---|---|
Распределения и конфигурации Kubernetes | Поддерживается * Служба Azure Kubernetes (AKS) с Kubernetes RBAC Поддерживается с помощью Kubernetes с поддержкой Arc 1 2 * гибридный Служба Azure Kubernetes * Kubernetes * Обработчик AKS * Azure Red Hat OpenShift |
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
AWS
Домен | Функция | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | На основе агента без агента или датчика | Ценовая категория |
---|---|---|---|---|---|---|
Управление состоянием безопасности | Обнаружение без агента для Kubernetes | EKS | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
Управление состоянием безопасности | Комплексные возможности инвентаризации | ECR, EKS | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
Управление состоянием безопасности | Анализ пути атаки | ECR, EKS | Общедоступная версия | Общедоступная версия | Безагентное | Defender CSPM |
Управление состоянием безопасности | Улучшенная охота на риск | ECR, EKS | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
Управление состоянием безопасности | Docker CIS | EC2 | Общедоступная версия | - | Агент Log Analytics | План Defender для серверов 2 |
Управление состоянием безопасности | Усиление уровня управления | - | - | - | - | - |
Управление состоянием безопасности | Усиление защиты для плоскости данных Kubernetes | EKS | Общедоступная версия | - | Политика Azure для Kubernetes | Defender для контейнеров |
Оценка уязвимостей | Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) | ECR | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров или CSPM Defender |
Оценка уязвимостей | Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) | EKS | Общедоступная версия | Общедоступная версия | Датчик без агента ИЛИ/AND Defender | Defender для контейнеров или CSPM Defender |
защиты среды выполнения; | Уровень управления | EKS | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
защиты среды выполнения; | Рабочая нагрузка | EKS | Общедоступная версия | - | Датчик Defender | Defender для контейнеров |
Развертывание и мониторинг | Обнаружение незащищенных кластеров | EKS | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
Развертывание и мониторинг | Автоматическая подготовка датчика Defender | EKS | Общедоступная версия | - | - | - |
Развертывание и мониторинг | Автоматическая подготовка Политика Azure для Kubernetes | EKS | Общедоступная версия | - | - | - |
Поддержка реестров и образов для AWS — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
Аспект | Сведения |
---|---|
Реестры и образы | Поддерживается * Реестры ECR * Образы контейнеров в формате Docker версии 2 * Изображения с спецификацией формата изображений Open Container Initiative (OCI) Не поддерживается * Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые * Общедоступные репозитории * Списки манифестов |
Операционные системы | Поддерживается * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS — конец жизни (EOL) по состоянию на 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (на основе Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Маринр 1-2 * Windows Server 2016, 2019, 2022 |
Языковые пакеты |
Поддерживается *Питон * Node.js *.СЕТЬ *ЯВА *Идти |
Поддержка дистрибутивов и конфигураций Kubernetes для AWS — защита от угроз среды выполнения
Аспект | Сведения |
---|---|
Распределения и конфигурации Kubernetes | Поддерживается * Amazon Elastic Kubernetes Service (EKS) Поддерживается с помощью Kubernetes с поддержкой Arc 1 2 * Kubernetes Не поддерживается * Частные кластеры EKS |
1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
Поддержка исходящего прокси-сервера — AWS
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
Кластеры с ограничениями IP-адресов — AWS
Если кластер Kubernetes в AWS имеет ограничения IP-адресов уровня управления (см. раздел "Управление доступом к конечной точке кластера Amazon EKS" Amazon EKS), конфигурация ограничения IP-адресов плоскости управления обновляется, чтобы включить блок CIDR Microsoft Defender для облака.
GCP
Домен | Функция | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | На основе агента без агента или датчика | Ценовая категория |
---|---|---|---|---|---|---|
Управление состоянием безопасности | Обнаружение без агента для Kubernetes | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
Управление состоянием безопасности | Комплексные возможности инвентаризации | GAR, GCR, GKE | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
Управление состоянием безопасности | Анализ пути атаки | GAR, GCR, GKE | Общедоступная версия | Общедоступная версия | Безагентное | Defender CSPM |
Управление состоянием безопасности | Улучшенная охота на риск | GAR, GCR, GKE | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
Управление состоянием безопасности | Docker CIS | Виртуальные машины GCP | Общедоступная версия | - | Агент Log Analytics | План Defender для серверов 2 |
Управление состоянием безопасности | Усиление уровня управления | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Бесплатно |
Управление состоянием безопасности | Усиление защиты для плоскости данных Kubernetes | GKE | Общедоступная версия | - | Политика Azure для Kubernetes | Defender для контейнеров |
Оценка уязвимостей | Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) | GAR, GCR | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров или CSPM Defender |
Оценка уязвимостей | Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) | GKE | Общедоступная версия | Общедоступная версия | Датчик без агента ИЛИ/AND Defender | Defender для контейнеров или CSPM Defender |
защиты среды выполнения; | Уровень управления | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
защиты среды выполнения; | Рабочая нагрузка | GKE | Общедоступная версия | - | Датчик Defender | Defender для контейнеров |
Развертывание и мониторинг | Обнаружение незащищенных кластеров | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
Развертывание и мониторинг | Автоматическая подготовка датчика Defender | GKE | Общедоступная версия | - | Безагентное | Defender для контейнеров |
Развертывание и мониторинг | Автоматическая подготовка Политика Azure для Kubernetes | GKE | Общедоступная версия | - | Безагентное | Defender для контейнеров |
Поддержка реестров и образов для GCP — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
Аспект | Сведения |
---|---|
Реестры и образы | Поддерживается * Реестры Google (GAR, GCR) * Образы контейнеров в формате Docker версии 2 * Изображения с спецификацией формата изображений Open Container Initiative (OCI) Не поддерживается * Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые * Общедоступные репозитории * Списки манифестов |
Операционные системы | Поддерживается * Alpine Linux 3.12-3.19 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS — конец жизни (EOL) по состоянию на 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (на основе Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Маринр 1-2 * Windows Server 2016, 2019, 2022 |
Языковые пакеты |
Поддерживается *Питон * Node.js *.СЕТЬ *ЯВА *Идти |
Поддержка дистрибутивов и конфигураций Kubernetes для GCP — защита от угроз среды выполнения
Аспект | Сведения |
---|---|
Распределения и конфигурации Kubernetes | Поддерживается * Google Kubernetes Engine (GKE) Standard Поддерживается с помощью Kubernetes с поддержкой Arc 1 2 * Kubernetes Не поддерживается * Кластеры частной сети * GKE autopilot * GKE AuthorizedNetworksConfig |
1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
Поддержка исходящего прокси-сервера — GCP
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
Кластеры с ограничениями IP-адресов — GCP
Если кластер Kubernetes в GCP имеет ограничения IP-адресов уровня управления (см. раздел "Добавление авторизованных сетей для доступа к плоскости управления| Google Kubernetes Engine (GKE) | Google Cloud ), конфигурация ограничения IP-адресов плоскости управления обновляется, чтобы включить блок CIDR Microsoft Defender для облака.
Локальные кластеры Kubernetes с поддержкой Arc
Домен | Функция | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | На основе агента без агента или датчика | Ценовая категория |
---|---|---|---|---|---|---|
Управление состоянием безопасности | Docker CIS | Виртуальные машины с поддержкой Arc | Предварительный просмотр | - | Агент Log Analytics | План Defender для серверов 2 |
Управление состоянием безопасности | Усиление уровня управления | - | - | - | - | - |
Управление состоянием безопасности | Усиление защиты для плоскости данных Kubernetes | Кластеры K8s с поддержкой Arc | Общедоступная версия | - | Политика Azure для Kubernetes | Defender для контейнеров |
защиты среды выполнения; | Защита от угроз (уровень управления) | Кластеры OpenShift с поддержкой Arc | "Предварительная версия" | "Предварительная версия" | Датчик Defender | Defender для контейнеров |
защиты среды выполнения; | Защита от угроз (рабочая нагрузка) | Кластеры OpenShift с поддержкой Arc | Предварительный просмотр | - | Датчик Defender | Defender для контейнеров |
Развертывание и мониторинг | Обнаружение незащищенных кластеров | Кластеры K8s с поддержкой Arc | Предварительный просмотр | - | Безагентное | Бесплатно |
Развертывание и мониторинг | Автоматическая подготовка датчика Defender | Кластеры K8s с поддержкой Arc | "Предварительная версия" | "Предварительная версия" | Безагентное | Defender для контейнеров |
Развертывание и мониторинг | Автоматическая подготовка Политика Azure для Kubernetes | Кластеры K8s с поддержкой Arc | Предварительный просмотр | - | Безагентное | Defender для контейнеров |
Внешние реестры контейнеров
Домен | Функция | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | На основе агента без агента или датчика | Ценовая категория |
---|---|---|---|---|---|---|
Управление состоянием безопасности | Комплексные возможности инвентаризации | Docker Hub , Jfrog Artifactory | "Предварительная версия" | "Предварительная версия" | Безагентное | Базовый CSPM OR Defender для контейнеров ИЛИ CSPM Defender |
Управление состоянием безопасности | Анализ пути атаки | Docker Hub , Jfrog Artifactory | "Предварительная версия" | "Предварительная версия" | Безагентное | Defender CSPM |
Оценка уязвимостей | Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) | Docker Hub , JfFrog Artifactory | "Предварительная версия" | "Предварительная версия" | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
Оценка уязвимостей | Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) | Docker Hub , Jfrog Artifactory | "Предварительная версия" | "Предварительная версия" | Датчик без агента ИЛИ/AND Defender | Защитник для контейнеров ИЛИ CSPM Defender |
Распределения и конфигурации Kubernetes
Аспект | Сведения |
---|---|
Распределения и конфигурации Kubernetes | Поддерживается с помощью Kubernetes с поддержкой Arc 1 2 * гибридный Служба Azure Kubernetes * Kubernetes * Обработчик AKS * Azure Red Hat OpenShift * Red Hat OpenShift версии 4.6 или более новой * VMware Tanzu Kubernetes Grid * Rancher Kubernetes Engine |
1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
Поддерживаемые операционные системы сервера виртуальных машин
Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux 5.4 и выше в следующих операционных системах узла:
- Amazon Linux 2
- CentOS 8 (CentOS — конец жизни(EOL) с 30 июня 2024 года. Дополнительные сведения см. в руководстве centOS End Of Life.)
- Debian 10
- Debian 11
- ОС Google, оптимизированная для контейнеров
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Убедитесь, что узел Kubernetes запущен на одном из этих проверенных операционных систем. Кластеры с неподдерживаемые операционные системы узла не получают преимущества функций, основанных на датчике Defender.
Ограничения датчика Defender
Датчик Defender в AKS версии 1.28 и ниже не поддерживается на узлах Arm64.
Сетевые ограничения
Поддержка прокси-сервера для исходящих подключений
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
Следующие шаги
- Узнайте, как Defender для облака собирает данные с помощью агента Log Analytics.
- Узнайте, как Defender для облака администрирует и защищает данные.
- Ознакомьтесь с платформами, которые поддерживают Defender для облака.