Матрица поддержки контейнеров в Defender для облака

Important

Все Microsoft Defender для облака функции будут официально прекращены в Azure в китайском регионе 1 октября 2026 года. Из-за предстоящего выхода на пенсию клиенты Azure в Китае больше не смогут подключить новые подписки к службе. Новая подписка — это любая подписка, которая еще не была подключена к службе Microsoft Defender для облака до 18 августа 2025 года, дата объявления о выходе на пенсию. Дополнительные сведения о прекращении поддержки см. в анонсе прекращения использования Microsoft Defender для облака в Microsoft Azure, управляемом 21Vianet.

Клиенты должны работать с представителями своих клиентских учётных записей в Microsoft Azure, управляемых 21Vianet, чтобы оценить влияние этого прекращения поддержки на их операции.

В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для Облака.

Note

  • Некоторые функции находятся на этапе предварительного просмотра. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
  • Defender для облака официально поддерживает только версии AKS, EKS и GKE, поддерживаемые поставщиком облачных служб.

В следующей таблице перечислены функции, предоставляемые Defender для контейнеров для поддерживаемых облачных сред и реестров контейнеров.

Доступность плана Microsoft Defender для контейнеров

Аспект Details
Состояние релиза: Общедоступность (GA)
Некоторые функции доступны в предварительной версии. Полный список см. в таблицах ниже.
Цены. Плата за Microsoft Defender для контейнеров взимается, как показано на странице цен. Вы также можете оценить затраты с помощью калькулятора затрат Defender для облака.
Требуемые роли и разрешения Чтобы развернуть необходимые компоненты, ознакомьтесь с разрешениями для каждого компонента.
Администратор безопасности может отклонять предупреждения
* Читатель безопасности может просматривать результаты оценки уязвимости
См. также роли для исправления и роли и разрешения реестра контейнеров Azure

Особенности оценки уязвимости (VA)

Функция Description Поддерживаемые ресурсы Состояние релиза Linux состояние выпуска Windows Метод активации Plans Доступность облачных служб
Репозиторий контейнеров VA VA для изображений в реестрах контейнеров ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory Общедоступная версия Общедоступная версия Требуется доступ к реестру1 или создание коннектора для Docker Hub/JFrog Defender для контейнеров или CSPM Defender Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Контейнер среды выполнения VA — сканирование реестра на основе метода Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory Общедоступная версия Общедоступная версия Требуется доступ к реестру1 или создание соединителя для Docker Hub/JFrog и доступ к API K8S или сенсор Defender1 Defender для контейнеров или CSPM Defender Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
VA контейнера среды выполнения Реестр независимый VA изображений, работающих в контейнере Все Общедоступная версия - Требуется безагентное сканирование для машин и либо доступ к API K8S, либо сенсор Defender1 Defender для контейнеров или CSPM Defender Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Узел среды выполнения VA Оценка уязвимостей узла Kubernetes Узлы AKS Общедоступная версия Общедоступная версия Требуется сканирование без агента для компьютеров Defender для контейнеров или Defender для серверов по плану 2 или Defender CSPM Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet

1Национальные облака автоматически включены и не могут быть отключены.

Поддержка реестров и образов для оценки уязвимостей

Аспект Details
Реестры и изображения Supported
* Контейнерные образы в формате Docker V2
* Изображения с спецификацией формата изображения Open Container Initiative (OCI)
Unsupported
* Ультра-минималистские образы, такие как образы Docker scratch, в настоящее время не поддерживаются
* Публичные репозитории
* Списки манифеста
Операционные системы Supported
* Alpine Linux 3.12-3.22
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (Поддержка CentOS завершится 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению срока службы CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (на основе Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016, 2019, 2022
* Chainguard OS/Wolfi OS
* Альма Linux 8.4 или более поздней версии
* Рокки Linux 8.7 или более поздней версии
* Минимус
* Photon OS 2.0-5.0
* Docker Hardened Images (DHI)
Пакеты, специфичные для языка

Supported
*Питон
* Node.js
*PHP
*Рубин
*Ржавчина
* .NET
*Ява
*Идти

Функции защиты во время выполнения

Функция Description Поддерживаемые ресурсы Состояние релиза Linux состояние выпуска Windows Метод активации Plans Доступность облачных служб
Расширенный поиск в XDR Просмотр инцидентов и оповещений кластера в Microsoft XDR AKS Общедоступная версия Общедоступная версия Для работы требуется датчик Defender Defender для контейнеров Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Защита от вредоносных программ Обнаружение вредоносного ПО AKS Общедоступная версия - Требуется датчик Defender, подключаемый через Helm Defender для контейнеров Коммерческие облака
Обнаружение двоичного смещения Определяет двоичный файл контейнера среды выполнения из образа контейнера AKS Общедоступная версия - Для работы требуется датчик Defender Defender для контейнеров Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Блокировка двоичного смещения Блокирует двоичное смещение в контейнерах среды выполнения AKS Preview - Требуется датчик Defender, подключаемый через Helm Defender для контейнеров Коммерческие облака
Обнаружение плоскости управления Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. AKS Общедоступная версия Общедоступная версия Активировано по плану Defender для контейнеров Коммерческие облака, Национальные облака: Azure для государственных организаций, Azure, управляемая 21Vianet
Обнаружение DNS Выявляет подозрительную DNS активность в контейнерных нагрузках AKS Общедоступная версия - Требуется датчик Defender, подключаемый через Helm Defender для контейнеров Коммерческие облака
Обнаружение вредоносных программ Обнаружение вредоносного ПО Узлы AKS Общедоступная версия Общедоступная версия Требуется сканирование без агента для компьютеров Defender для контейнеров или Defender для серверов, план 2 -
Действия реагирования в XDR Обеспечивает автоматическое и ручное исправление в Microsoft XDR AKS Preview - Требуется датчик Defender и API доступа K8S Defender для контейнеров Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Обнаружение рабочей нагрузки Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. AKS Общедоступная версия - Для работы требуется датчик Defender Defender для контейнеров Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet

Дистрибутивы и конфигурации Kubernetes для защиты от угроз среды выполнения в Azure

Аспект Details
Дистрибутивы и конфигурации Kubernetes Supported
* Azure Kubernetes Service (AKS) с Kubernetes RBAC

Поддерживается через Kubernetes с включенным Arc12
* Гибридная служба Azure Kubernetes
* Kubernetes
* Ядро AKS

1 Все сертифицированные кластеры Kubernetes с сертификатом Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.

2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.

Note

Для дополнительных требований по защите рабочих загрузок Kubernetes см. существующие ограничения.

Функции управления состоянием безопасности

Функция Description Поддерживаемые ресурсы Состояние релиза Linux состояние выпуска Windows Метод активации Plans Доступность облачных служб
Бесагентное обнаружение для Kubernetes1 Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. AKS Общедоступная версия Общедоступная версия Требуется K8S API access Защитник для контейнеров ИЛИ Защитник CSPM Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Комплексные возможности управления запасами Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. ACR, AKS Общедоступная версия Общедоступная версия Требуется K8S API access Защитник для контейнеров ИЛИ Защитник CSPM Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Анализ пути атаки Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. ACR, AKS Общедоступная версия Общедоступная версия Требуется K8S API access CSPM в Microsoft Defender Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Улучшенная охота на риск Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. ACR, AKS Общедоступная версия Общедоступная версия Требуется K8S API access Защитник для контейнеров ИЛИ Защитник CSPM Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Усиление плоскости управления1 Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. ACR, AKS Общедоступная версия Общедоступная версия Активировано по плану Free Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
Ужесточение рабочей нагрузки1 Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. AKS Общедоступная версия - Требуется политика Azure Free Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
CIS Служба Azure Kubernetes Cis Служба Azure Kubernetes Benchmark AKS Общедоступная версия - Требуется доступ к API K8S и назначенный стандарт безопасности Защитник для контейнеров ИЛИ Защитник CSPM Коммерческие облака

Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet

1 Эту функцию можно включить для отдельного кластера при включении Defender для контейнеров на уровне ресурсов кластера.

Функции защиты цепочки поставок программного обеспечения для контейнеров

Функция Description Поддерживаемые ресурсы Состояние релиза Linux состояние выпуска Windows Метод активации Доступность в облаках
Развертывание с контрольными точками Граничная развертка образов контейнеров в вашей среде Kubernetes AKS 1.31 или более поздней версии (включая AKS Automatic)1 Общедоступная версия - Требуется датчик Defender, датчик безопасности, результаты безопасности и доступ к реестру. Коммерческие облака
Контроль неправильной конфигурации Kubernetes Проводит аудит или блокирует развертывания Kubernetes, которые не соответствуют рекомендациям Microsoft по передовым методам обеспечения безопасности AKS Общедоступная версия - Требуется доступ к API Kubernetes. Для ручного развертывания поддерживается Helm. Коммерческие облака

1 В автоматических кластерах AKS датчик Defender должен быть установлен с помощью Helm в пространстве имен kube-system. Установка в mdc пространстве имен и развертывание надстроек не поддерживаются для инкрементного развертывания.

Ограничения сети

Аспект Details
Поддержка исходящего прокси-сервера Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются.
Кластеры с ограничениями по IP-адресам Если в вашем кластере Kubernetes в AWS включены ограничения на IP-адреса плоскости управления (см. Управление доступом к конечным точкам кластера Amazon EKS - Amazon EKS), конфигурация ограничений IP-адресов плоскости управления обновляется, чтобы включать CIDR-блок Microsoft Defender для облака.

Поддерживаемые операционные системы хоста

Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux версии 5.4 и выше на следующих операционных системах хоста:

  • Amazon Linux 2
  • AWS Bottlerocket (подготовка только через Helm)
  • CentOS 8 (CentOS достигла конца службы 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.)
  • Debian 10
  • Debian 11
  • Google Container-Optimized OS (Операционная система, оптимизированная для контейнеров)
  • Azure Linux 1.0
  • Azure Linux 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Убедитесь, что узел Kubernetes работает в одной из этих проверенных операционных систем. Кластеры с неподдерживаемыми операционными системами узлов не получают преимущества от функций, использующих датчик Defender.

ограничения датчика Defender

Датчик Defender в AKS версии 1.28 и более ранних версиях не поддерживает узлы Arm64.

Дальнейшие действия