Caution
Эта статья ссылается на CentOS, дистрибутив Linux, который достиг окончания службы 30 июня 2024 года. Думайте об использовании и планировании соответствующим образом. Для получения дополнительной информации смотрите руководство по окончанию поддержки CentOS.
Это важно
Все Microsoft Defender для облака функции будут официально прекращены в Azure в регионе Китая 18 августа 2026 года. Из-за этого предстоящего выхода на пенсию Azure в Китае клиенты больше не смогут подключить новые подписки к службе. Новая подписка — это любая подписка, которая еще не была подключена к службе Microsoft Defender для облака до 18 августа 2025 года, дата объявления о выходе на пенсию. Дополнительные сведения о прекращении поддержки см. в анонсе прекращения использования Microsoft Defender для облака в Microsoft Azure, управляемом 21Vianet.
Клиенты должны работать с представителями своей учетной записи для Microsoft Azure, управляемых 21Vianet, чтобы оценить влияние этого выхода на пенсию на своих собственных операциях.
В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для облака.
Note
- Некоторые функции находятся на этапе предварительного просмотра. Дополнительные условия предварительных версий Azure включают другие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или иным образом еще не выпущены в общий доступ.
- Defender для облака официально поддерживает только версии AKS, EKS и GKE, поддерживаемые поставщиком облачных служб.
В следующей таблице перечислены функции, предоставляемые Defender для контейнеров для поддерживаемых облачных сред и реестров контейнеров.
Microsoft Defender для плана контейнеров и его доступности
Особенности оценки уязвимости (VA)
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
VA для изображений в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру1 или создание коннектора для Docker Hub/JFrog |
Defender для контейнеров или Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру1 или создание соединителя для Docker Hub/JFrog и доступ к API K8S или сенсор Defender1 |
Defender для контейнеров или Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| VA контейнера среды выполнения |
Реестр независимый VA изображений, работающих в контейнере |
All |
GA |
- |
Требуется сканирование без агента для машин и либо доступ к API K8S, либо сенсор Defender1. |
Defender для контейнеров или Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Узел среды выполнения VA |
Оценка уязвимостей узла Kubernetes |
Узлы AKS |
GA |
GA |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов по плану 2 или Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
1Национальные облака автоматически включены и не могут быть отключены.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру |
Defender для контейнеров или Defender CSPM |
AWS |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Требуется бесагентное сканирование машин и либо доступ к API Kubernetes, либо сенсор Defender. |
Defender для контейнеров или Defender CSPM |
AWS |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру |
Defender для контейнеров или Defender CSPM |
GCP |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Требуется бесагентное сканирование машин и либо доступ к API Kubernetes, либо сенсор Defender. |
Defender для контейнеров или Defender CSPM |
GCP |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Требуется доступ к реестру |
Defender для контейнеров или Defender CSPM |
Кластеры с подключением Arc |
Поддержка реестров и образов для оценки уязвимостей
| Aspect |
Details |
| Реестры и изображения |
Supported
* Контейнерные образы в формате Docker V2
* Изображения с спецификацией формата изображения Open Container Initiative (OCI)
Unsupported
* Супер-минималистичные образы, такие как образы Docker scratch, в настоящее время не поддерживаются
* Публичные репозитории
* Списки манифеста
|
| Операционные системы |
Supported
* Alpine Linux 3.12-3.22
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (Поддержка CentOS завершится 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению срока службы CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (на основе Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS
* Альма Linux 8.4 или более поздней версии
* Рокки Linux 8.7 или более поздней версии
* Минимус
* Photon OS 2.0-5.0 |
Пакеты, специфичные для языка
|
Supported
*Питон
* Node.js
*PHP
*Рубин
*Ржавчина
*.NET
*Ява
*Идти |
Функции защиты во время выполнения
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
AKS |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется датчик Defender |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure в управлении 21Vianet |
| Защита от вредоносных программ |
Обнаружение вредоносного ПО |
AKS |
GA |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
AKS |
GA |
- |
Требуется датчик Defender |
Defender для контейнеров |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
AKS |
Preview |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
AKS |
GA |
GA |
Активировано по плану |
Defender для контейнеров |
Коммерческие облака Национальные облака: Azure для государственных организаций, Azure, управляемые 21Vianet |
| Обнаружение DNS |
Выявляет подозрительную DNS активность в контейнерных нагрузках |
AKS |
GA |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
Узлы AKS |
GA |
GA |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов План 2 |
Коммерческие облака |
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
AKS |
Preview |
- |
Требуется Defender датчик и API доступа K8S |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure в управлении 21Vianet |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
AKS |
GA |
- |
Требуется датчик Defender |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure в управлении 21Vianet |
Дистрибутивы и конфигурации Kubernetes для защиты от угроз среды выполнения в Azure
Любые кластеры Kubernetes, сертифицированные Cloud Native Computing Foundation (CNCF), должны поддерживаться, но только указанные кластеры тестируются на Azure.
2 Чтобы получить Microsoft Defender для контейнеров защиту для ваших сред, необходимо подключить Azure Arc с поддержкой Kubernetes и включить Defender для контейнеров в качестве расширения Arc.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
EKS |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется датчик Defender |
Defender для контейнеров |
AWS |
| Защита от вредоносных программ |
Обнаружение вредоносного ПО |
EKS |
GA |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
AWS |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
EKS |
GA |
- |
Требуется датчик Defender |
Defender для контейнеров |
AWS |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
EKS |
Preview |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
AWS |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
EKS |
GA |
GA |
Активировано по плану |
Defender для контейнеров |
AWS |
| Обнаружение DNS |
Обнаруживает подозрительную активность DNS в рабочих нагрузках контейнеров |
EKS |
GA |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
AWS |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
EKS |
Preview |
- |
Требуется Defender датчик и API доступа K8S |
Defender для контейнеров |
AWS |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
EKS |
GA |
- |
Требуется датчик Defender |
Defender для контейнеров |
AWS |
Поддержка дистрибутивов и конфигураций Kubernetes для защиты от угроз среды выполнения в AWS
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 Чтобы получить Microsoft Defender для контейнеров защиту для ваших сред, необходимо подключить Azure Arc с поддержкой Kubernetes и включить Defender для контейнеров в качестве расширения Arc.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
GKE |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита |
Требуется датчик Defender |
Defender для контейнеров |
GCP |
| Защита от вредоносных программ |
Обнаружение вредоносного ПО |
GKE |
GA |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
GCP |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
GKE |
GA |
- |
Требуется датчик Defender |
Defender для контейнеров |
GCP |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
GKE |
Preview |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
GCP |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
GKE |
GA |
GA |
Активировано по плану |
Defender для контейнеров |
GCP |
| Обнаружение DNS |
Обнаруживает подозрительную активность DNS из контейнерных рабочих нагрузок |
GKE |
GA |
- |
Требуется датчик Defender, используемый через Helm |
Defender для контейнеров |
GCP |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
GKE |
Preview |
- |
Требуется Defender датчик и API доступа K8S |
Defender для контейнеров |
GCP |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
GKE |
GA |
- |
Требуется датчик Defender |
Defender для контейнеров |
GCP |
Поддержка дистрибутивов и конфигураций Kubernetes для защиты от угроз среды выполнения в GCP
| Aspect |
Details |
| Дистрибутивы и конфигурации Kubernetes |
Supported
Google Kubernetes Engine (GKE) Standard
Поддерживается через Kubernetes с включенным Arc12
Kubernetes
Unsupported
Кластеры частной сети
GKE Autopilot (автопилот)
* GKE AuthorizedNetworksConfig (Настройки Авторизованных Сетей) |
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 Чтобы получить Microsoft Defender для контейнеров защиту для ваших сред, необходимо подключить Azure Arc с поддержкой Kubernetes и включить Defender для контейнеров в качестве расширения Arc.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
Кластеры Kubernetes с поддержкой Arc |
Preview |
Preview |
Требуется датчик Defender |
Defender для контейнеров |
|
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
Кластеры Kubernetes с поддержкой Arc |
Preview |
- |
Требуется датчик Defender |
Defender для контейнеров |
|
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
- |
- |
- |
- |
- |
- |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
- |
- |
- |
- |
- |
|
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
Кластеры Kubernetes с поддержкой Arc |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Требуется датчик Defender |
Defender для контейнеров |
|
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
- |
- |
- |
- |
- |
- |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Дистрибутивы и конфигурации Kubernetes для защиты от угроз среды выполнения в Kubernetes с поддержкой Arc
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 Чтобы получить Microsoft Defender для контейнеров защиту для ваших сред, необходимо подключить Azure Arc с поддержкой Kubernetes и включить Defender для контейнеров в качестве расширения Arc.
Функции управления состоянием безопасности
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Бесагентное обнаружение для Kubernetes1 |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
AKS |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ACR, AKS |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
ACR, AKS |
GA |
GA |
Требуется K8S API access |
CSPM в Microsoft Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ACR, AKS |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
|
Усиление плоскости управления1 |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
ACR, AKS |
GA |
GA |
Активировано по плану |
Free |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
|
Ужесточение рабочей нагрузки1 |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
AKS |
GA |
- |
Требуется Политика Azure |
Free |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Служба CIS Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
AKS |
GA |
- |
Назначен в качестве стандарта безопасности |
Defender для контейнеров OR Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
|
1 Эту функцию можно включить для отдельного кластера при включении Defender для контейнеров на уровне ресурсов кластера.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
EKS |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
коммерческие облака Azure |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ECR, EKS |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
AWS |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
ECR, EKS |
GA |
GA |
Требуется K8S API access |
Defender CSPM (требуется включить обнаружение без агента для Kubernetes) |
AWS |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ECR, EKS |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
AWS |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
EKS |
GA |
- |
Требуется расширение Auto provision Политика Azure для Azure Arc |
Free |
AWS |
| Служба CIS Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
EKS |
GA |
- |
Назначен в качестве стандарта безопасности |
Defender для контейнеров OR Defender CSPM |
AWS |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
GKE |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
GCP |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
GCR, GAR, GKE |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
GCP |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
GCR, GAR, GKE |
GA |
GA |
Требуется K8S API access |
CSPM в Microsoft Defender |
GCP |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
GCR, GAR, GKE |
GA |
GA |
Требуется K8S API access |
Defender для контейнеров OR Defender CSPM |
GCP |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
GKE |
GA |
GA |
Активировано с планом |
Free |
GCP |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
GKE |
GA |
- |
Требуется расширение Auto provision Политика Azure для Azure Arc |
Free |
GCP |
| Служба CIS Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
GKE |
GA |
- |
Назначен в качестве стандарта безопасности |
Defender для контейнеров OR Defender CSPM |
GCP |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
- |
- |
- |
- |
- |
- |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
- |
- |
- |
- |
- |
- |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
- |
- |
- |
- |
- |
- |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
- |
- |
- |
- |
- |
- |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
Кластер Kubernetes с поддержкой Arc |
GA |
- |
Требуется расширение Auto provision Политика Azure для Azure Arc |
Defender для контейнеров |
Кластер Kubernetes с поддержкой Arc |
| Служба CIS Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
Виртуальные машины с поддержкой Arc |
Preview |
- |
Назначен в качестве стандарта безопасности |
Defender для контейнеров OR Defender CSPM |
Кластер Kubernetes с поддержкой Arc |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Создание соединителя |
Foundational CSPM OR Defender CSPM OR Defender для контейнеров |
- |
| Анализ путей атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
Docker Hub, JFrog Artifactory |
GA |
GA |
Создание соединителя |
CSPM в Microsoft Defender |
- |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
Docker Hub, JFrog |
GA |
GA |
Создание соединителя |
Defender для контейнеров OR Defender CSPM |
|
Функции защиты цепочки поставок программного обеспечения для контейнеров
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Доступность в облаках |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
AKS 1.31 или более поздней версии (включая AKS Automatic)1 |
GA |
- |
Требуется датчик Defender, контроль безопасности, результаты безопасности и доступ к реестру. |
Коммерческие облака |
1 В автоматических кластерах AKS датчик Defender должен быть установлен с помощью Helm в пространстве имен kube-system. Установка в mdc пространстве имен и развертывание надстроек не поддерживаются для инкрементного развертывания.
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
EKS 1.31 или более поздней версии, Реестр контейнеров Amazon Elastic (ECR) |
GA |
- |
Требуется датчик Защитника, проверка безопасности, результаты проверки безопасности и доступ к реестру |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
GKE 1.31 или более поздней версии, Реестр артефактов Google |
GA |
- |
Требуется датчик Защитника, проверка безопасности, результаты проверки безопасности и доступ к реестру |
| Feature |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
Кластеры Kubernetes с поддержкой Arc |
GA |
- |
Требуется датчик Защитника, проверка безопасности, результаты проверки безопасности и доступ к реестру |
Ограничения сети
| Aspect |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в кластере Kubernetes в AWS включены ограничения IP-адресов уровня управления (см. раздел Amazon EKS, управление доступом к конечной точке кластера - Amazon EKS), конфигурация ограничения IP-адресов уровня управления обновляется для включения CIDR-блока Microsoft Defender для облака. |
| Aspect |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если кластер Kubernetes в GCP имеет ограничения IP-адресов уровня управления (см. раздел GKE — добавление авторизованных сетей для доступа к плоскости управления), конфигурация ограничения IP-адресов уровня управления обновляется, чтобы включить блок CIDR Microsoft Defender для облака. |
| Aspect |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
Поддерживаемые операционные системы хоста
Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender поддерживается только в Linux Kernel 5.4 и более поздних версий в следующих операционных системах узла:
- Amazon Linux 2
- AWS Bottlerocket (только подготовка через Helm)
- CentOS 8 (CentOS достигла конца службы 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.)
- Debian 10
- Debian 11
- Google Container-Optimized OS (Операционная система, оптимизированная для контейнеров)
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Убедитесь, что узел Kubernetes работает в одной из этих проверенных операционных систем. Кластеры с неподдерживающимися операционными системами узлов не получают преимущества функций, использующих датчик Defender.
ограничения датчика Defender
Датчик Defender в AKS версии 1.28 и более ранних версиях не поддерживает узлы Arm64.
Дальнейшие шаги