Осторожно
В этой статье упоминается CentOS, Linux-дистрибуция, которая снята с обслуживания с 30 июня 2024 года. Пожалуйста, учитывайте ваше использование и планирование соответствующим образом. Для получения дополнительной информации смотрите руководство по окончанию поддержки CentOS.
Эта статья обобщает информацию о поддержке возможностей контейнеров в Microsoft Defender for Cloud.
Примечание
- Некоторые функции находятся на этапе предварительного просмотра. Дополнительные условия предварительного просмотра Azure включают другие юридические условия, которые применяются к функциям Azure, находящимся в стадии бета-тестирования, предварительного просмотра или иначе еще не выпущенным для общего доступа.
- Только версии AKS, EKS и GKE, поддерживаемые облачным провайдером, официально поддерживаются Defender for Cloud.
Ниже перечислены функции, предоставляемые Defender для контейнеров в поддерживаемых облачных средах и регистрах контейнеров.
Особенности оценки уязвимости (VA)
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Репозиторий контейнеров VA |
VA для изображений в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется доступ к реестру1 или создание соединителя для Docker Hub или Jfrog |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется доступ к реестру1 или создание соединителя для Docker Hub/Jfrog и либо доступ к API K8S, либо датчик Defender1 |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| VA контейнера среды выполнения |
Реестр независимый VA изображений, работающих в контейнере |
Все |
Предпросмотр |
- |
Требуется безагентное сканирование для машин и либо доступ к API K8S, либо сенсор Defender1 |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
1Национальные облака автоматически включены и не могут быть отключены.
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
AWS |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или CSPM Defender |
AWS |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
GCP (Google Cloud Platform) |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или CSPM Defender |
GCP (Google Cloud Platform) |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
Кластеры с подключением Arc |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Генеральная Ассамблея |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или CSPM Defender |
Кластеры с подключением Arc |
Поддержка реестров и образов для оценки уязвимостей
| Аспект |
Подробности |
| Реестры и изображения |
Поддерживается
* Контейнерные образы в формате Docker V2
* Изображения с спецификацией формата изображения Open Container Initiative (OCI)
Не поддерживается
* Супер-минималистичные образы, такие как образы Docker scratch, в настоящее время не поддерживаются
* Публичные репозитории
* Списки манифеста
|
| Операционные системы |
Поддерживается
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (Поддержка CentOS завершится 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению срока службы CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (на основе Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS |
Пакеты, специфичные для языка
|
Поддерживается
*Питон
* Node.js
* PHP
*Рубин
*Ржавчина
*.СЕТЬ
*Ява
Го |
Функции защиты во время выполнения
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
АКС |
Генеральная Ассамблея |
Генеральная Ассамблея |
Активировано по плану |
Defender для контейнеров или CSPM Defender |
Коммерческие облака, Национальные облака: Azure Government, Azure, управляемая 21Vianet |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
АКС |
Генеральная Ассамблея |
- |
Требуется Defender sensor |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
АКС |
Генеральная Ассамблея |
- |
Требуется Defender sensor |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение DNS |
Возможности обнаружения DNS |
АКС |
Предпросмотр |
|
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
АКС |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
АКС |
Предпросмотр |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
Узлы AKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов, план 2 |
Коммерческие облака |
Распределения и конфигурации Kubernetes для защиты от угроз во время выполнения в Azure
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
EKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Активировано по плану |
Defender для контейнеров или CSPM Defender |
AWS |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
EKS |
Генеральная Ассамблея |
- |
Требуется Defender sensor |
Defender для контейнеров |
AWS |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
EKS |
Генеральная Ассамблея |
- |
Требуется Defender sensor |
Defender для контейнеров |
AWS |
| Обнаружение DNS |
Возможности обнаружения DNS |
EKS |
Предпросмотр |
|
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
AWS |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
EKS |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender для контейнеров |
AWS |
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
EKS |
Предпросмотр |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
AWS |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Поддержка дистрибутивов/конфигураций Kubernetes для защиты от угроз во время выполнения в AWS
1 Должна поддерживаться любая сертифицированная Cloud Native Computing Foundation (CNCF) кластер Kubernetes, но проверены только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
GKE (Google Kubernetes Engine) |
Генеральная Ассамблея |
Генеральная Ассамблея |
Активировано по плану |
Defender для контейнеров |
GCP (Google Cloud Platform) |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
GKE (Google Kubernetes Engine) |
Генеральная Ассамблея |
- |
Требуется Defender sensor |
Defender для контейнеров |
GCP (Google Cloud Platform) |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
GKE (Google Kubernetes Engine) |
Генеральная Ассамблея |
- |
Требуется Defender sensor |
Defender для контейнеров |
GCP (Google Cloud Platform) |
| Обнаружение DNS |
Возможности обнаружения DNS |
GKE (Google Kubernetes Engine) |
Предпросмотр |
|
Требуется датчик Defender с помощью Helm |
Defender для контейнеров |
GCP (Google Cloud Platform) |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
GKE (Google Kubernetes Engine) |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется Defender sensor |
Defender для контейнеров |
GCP (Google Cloud Platform) |
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
GKE (Google Kubernetes Engine) |
Предпросмотр |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
GCP (Google Cloud Platform) |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Поддержка дистрибутивов/конфигураций Kubernetes для защиты от угроз в реальном времени на GCP
| Аспект |
Подробности |
| Дистрибутивы и конфигурации Kubernetes |
Поддерживается
*
Google Kubernetes Engine (GKE) Standard
Поддерживается через Kubernetes с включенным Arc12
*
Kubernetes
Не поддерживается
* Кластеры частной сети
* GKE автопилот
* GKE AuthorizedNetworksConfig (Настройки Авторизованных Сетей) |
1 Должна поддерживаться любая сертифицированная Cloud Native Computing Foundation (CNCF) кластер Kubernetes, но проверены только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
Кластеры Kubernetes с поддержкой Arc |
Предпросмотр |
Предпросмотр |
Требуется Defender sensor |
Defender для контейнеров |
|
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
Кластеры Kubernetes с поддержкой Arc |
Предпросмотр |
- |
Требуется Defender sensor |
Defender для контейнеров |
|
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
|
- |
- |
- |
- |
- |
| Расширенный поиск в XDR |
Просмотр случаев инцидентов и предупреждений кластера в Microsoft XDR |
Кластеры Kubernetes с поддержкой Arc |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Требуется Defender sensor |
Defender для контейнеров |
|
| Действия реагирования в XDR |
Предоставляет автоматическое и ручное исправление в Microsoft XDR |
- |
- |
- |
- |
- |
|
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Дистрибутивы/конфигурации Kubernetes для защиты от угроз в реальном времени в Kubernetes, поддерживающих Arc
1 Должна поддерживаться любая сертифицированная Cloud Native Computing Foundation (CNCF) кластер Kubernetes, но проверены только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Функции управления состоянием безопасности
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
|
Бесагентное обнаружение для Kubernetes1 |
Предоставляет бесследное обнаружение кластеров Kubernetes на основе API, их конфигураций и развертываний. |
АКС |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ACR, AKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирования выявляют уязвимые пути, которые атакующие могут использовать для проникновения в вашу среду. |
ACR, AKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
CSPM в Defender |
Azure коммерческие облака |
| Усовершенствованное выявление рисков |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ACR, AKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
|
Усиление плоскости управления1 |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
ACR, AKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Активировано по плану |
Бесплатно |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
|
Укрепление нагрузки1 |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
АКС |
Генеральная Ассамблея |
- |
Требуется политика Azure |
Бесплатно |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
АКС |
Генеральная Ассамблея |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Коммерческие облака
|
1 Эта функция может быть включена для отдельного кластера при включении Defender для контейнеров на уровне ресурса кластера.
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
|
Безагентное обнаружение для Kubernetes |
Предоставляет бесследное обнаружение кластеров Kubernetes на основе API, их конфигураций и развертываний. |
EKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Azure коммерческие облака |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ECR, EKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирования выявляют уязвимые пути, которые атакующие могут использовать для проникновения в вашу среду. |
ECR, EKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Defender CSPM (требует включения обнаружения без агента для Kubernetes) |
AWS |
| Усовершенствованное выявление рисков |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ECR, EKS |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
EKS |
Генеральная Ассамблея |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Бесплатно |
AWS |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
EKS |
Генеральная Ассамблея |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
|
Безагентное обнаружение для Kubernetes |
Предоставляет бесследное обнаружение кластеров Kubernetes на основе API, их конфигураций и развертываний. |
GKE (Google Kubernetes Engine) |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP (Google Cloud Platform) |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
GCR, GAR, GKE |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP (Google Cloud Platform) |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирования выявляют уязвимые пути, которые атакующие могут использовать для проникновения в вашу среду. |
GCR, GAR, GKE |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
CSPM в Defender |
GCP (Google Cloud Platform) |
| Усовершенствованное выявление рисков |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
GCR, GAR, GKE |
Генеральная Ассамблея |
Генеральная Ассамблея |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP (Google Cloud Platform) |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
GKE (Google Kubernetes Engine) |
Генеральная Ассамблея |
Генеральная Ассамблея |
Активировано с планом |
Бесплатно |
GCP (Google Cloud Platform) |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
GKE (Google Kubernetes Engine) |
Генеральная Ассамблея |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Бесплатно |
GCP (Google Cloud Platform) |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
GKE (Google Kubernetes Engine) |
Генеральная Ассамблея |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP (Google Cloud Platform) |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
|
Безагентное обнаружение для Kubernetes |
Предоставляет бесследное обнаружение кластеров Kubernetes на основе API, их конфигураций и развертываний. |
- |
- |
- |
- |
- |
- |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
- |
- |
- |
- |
- |
- |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирования выявляют уязвимые пути, которые атакующие могут использовать для проникновения в вашу среду. |
- |
- |
- |
- |
- |
- |
| Усовершенствованное выявление рисков |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
- |
- |
- |
- |
- |
- |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. Когда Defender for Cloud обнаруживает ошибочные конфигурации, он генерирует рекомендации по безопасности, которые доступны на странице "Рекомендации" в Defender for Cloud. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
Кластер Kubernetes с поддержкой Arc |
Генеральная Ассамблея |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Защитник для контейнеров |
Кластер Kubernetes с поддержкой Arc |
| Служба CIS Azure Kubernetes |
CIS Azure Kubernetes Service Benchmark |
Виртуальные машины с поддержкой Arc |
Предпросмотр |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Кластер Kubernetes с поддержкой Arc |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
Docker Hub, JFrog Artifactory |
Предпросмотр |
Предпросмотр |
Создание соединителя |
Базовый CSPM ИЛИ Защитник CSPM ИЛИ Защитник для контейнеров |
- |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирования выявляют уязвимые пути, которые атакующие могут использовать для проникновения в вашу среду. |
Docker Hub, JFrog Artifactory |
Предпросмотр |
Предпросмотр |
Создание соединителя |
CSPM в Defender |
- |
| Усовершенствованное выявление рисков |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
Docker Hub, JFrog |
Предпросмотр |
Предпросмотр |
Создание соединителя |
Защитник для контейнеров ИЛИ Защитник CSPM |
|
Функции защиты цепочки поставок программного обеспечения для контейнеров
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
AKS 1.32 или выше |
Предпросмотр |
Предпросмотр |
Активировано по плану |
Defender для контейнеров или CSPM Defender |
Коммерческие облака, Национальные облака: Azure Government, Azure, управляемая 21Vianet |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
- |
- |
- |
- |
- |
- |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
- |
- |
- |
- |
- |
- |
| Особенность |
Описание |
Поддерживаемые ресурсы |
Состояние релиза Linux |
Состояние выпуска Windows |
метод включения |
Планы |
Доступность облаков |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
- |
- |
- |
- |
- |
- |
Ограничения сети
| Аспект |
Подробности |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В данный момент исходящие прокси, ожидающие доверенные сертификаты, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в вашем кластере Kubernetes в AWS включены ограничения на IP-адреса плоскости управления (см. Управление доступом к конечным точкам кластера Amazon EKS - Amazon EKS), конфигурация ограничений IP-адресов плоскости управления обновляется, чтобы включать CIDR-блок Microsoft Defender для облака. |
| Аспект |
Подробности |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В данный момент исходящие прокси, ожидающие доверенные сертификаты, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в вашем кластере Kubernetes в GCP включены ограничения IP для контрольной плоскости (см. GKE - Добавление авторизованных сетей для доступа к контрольной плоскости), конфигурация ограничения IP для контрольной плоскости обновляетcя для включения CIDR-блока Microsoft Defender for Cloud. |
| Аспект |
Подробности |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В данный момент исходящие прокси, ожидающие доверенные сертификаты, не поддерживаются. |
Поддерживаемые операционные системы хоста
Defender для контейнеров полагается на датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux версии 5.4 и выше на следующих операционных системах хоста:
- Amazon Linux 2
- CentOS 8 (Поддержка CentOS прекращается 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению жизненного цикла CentOS.)
- Debian 10
- Debian 11
- Google Container-Optimized OS (Операционная система, оптимизированная для контейнеров)
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Убедитесь, что ваш узел Kubernetes работает под управлением одной из этих проверенных операционных систем. Кластеры с неподдерживаемыми операционными системами на хостах не получают преимуществ от функций, зависящих от сенсора Defender.
Ограничения сенсора Defender
Датчик Defender в AKS версии 1.28 и ниже не поддерживается на узлах Arm64.
Следующие шаги