Important
Все Microsoft Defender для облака функции будут официально прекращены в Azure в китайском регионе 1 октября 2026 года. Из-за предстоящего выхода на пенсию клиенты Azure в Китае больше не смогут подключить новые подписки к службе. Новая подписка — это любая подписка, которая еще не была подключена к службе Microsoft Defender для облака до 18 августа 2025 года, дата объявления о выходе на пенсию. Дополнительные сведения о прекращении поддержки см. в анонсе прекращения использования Microsoft Defender для облака в Microsoft Azure, управляемом 21Vianet.
Клиенты должны работать с представителями своих клиентских учётных записей в Microsoft Azure, управляемых 21Vianet, чтобы оценить влияние этого прекращения поддержки на их операции.
В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для Облака.
Note
- Некоторые функции находятся на этапе предварительного просмотра.
Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
- Defender для облака официально поддерживает только версии AKS, EKS и GKE, поддерживаемые поставщиком облачных служб.
В следующей таблице перечислены функции, предоставляемые Defender для контейнеров для поддерживаемых облачных сред и реестров контейнеров.
Доступность плана Microsoft Defender для контейнеров
Особенности оценки уязвимости (VA)
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
VA для изображений в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Общедоступная версия |
Общедоступная версия |
Требуется доступ к реестру1 или создание коннектора для Docker Hub/JFrog |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Общедоступная версия |
Общедоступная версия |
Требуется доступ к реестру1 или создание соединителя для Docker Hub/JFrog и доступ к API K8S или сенсор Defender1 |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| VA контейнера среды выполнения |
Реестр независимый VA изображений, работающих в контейнере |
Все |
Общедоступная версия |
- |
Требуется безагентное сканирование для машин и либо доступ к API K8S, либо сенсор Defender1 |
Defender для контейнеров или CSPM Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Узел среды выполнения VA |
Оценка уязвимостей узла Kubernetes |
Узлы AKS |
Общедоступная версия |
Общедоступная версия |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов по плану 2 или Defender CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
1Национальные облака автоматически включены и не могут быть отключены.
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Общедоступная версия |
Общедоступная версия |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
AWS |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Общедоступная версия |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или CSPM Defender |
AWS |
| Узел среды выполнения VA |
Оценка уязвимостей узла Kubernetes |
Узлы EKS |
Preview |
- |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или CSPM Defender |
AWS |
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Общедоступная версия |
Общедоступная версия |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
GCP |
| Контейнер среды выполнения VA — сканирование реестра на основе метода |
Виртуальные контейнеры, на которых выполняются образы из поддерживаемых реестров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Общедоступная версия |
- |
Требуется сканирование машин без агентов и либо доступ к K8S API, либо датчик Defender. |
Defender для контейнеров или CSPM Defender |
GCP |
| Узел среды выполнения VA |
Оценка уязвимостей узла Kubernetes |
Узлы GKE |
Preview |
- |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или CSPM Defender |
GCP |
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Репозиторий контейнеров VA |
Оценки уязвимостей для образов в реестрах контейнеров |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
Общедоступная версия |
Общедоступная версия |
Требуется доступ к реестру |
Defender для контейнеров или CSPM Defender |
Кластеры с подключением Arc |
Поддержка реестров и образов для оценки уязвимостей
| Аспект |
Details |
| Реестры и изображения |
Supported * Контейнерные образы в формате Docker V2 * Изображения с спецификацией формата изображения Open Container Initiative (OCI)
Unsupported * Ультра-минималистские образы, такие как образы Docker scratch, в настоящее время не поддерживаются * Публичные репозитории * Списки манифеста
|
| Операционные системы |
Supported * Alpine Linux 3.12-3.22 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (Поддержка CentOS завершится 30 июня 2024 года. Для получения дополнительной информации см. руководство по завершению срока службы CentOS.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (на основе Debian GNU/Linux 7-12) * Ubuntu 12.04-24.04 * Fedora 31-37 * Azure Linux 1-3 * Windows Server 2016, 2019, 2022 * Chainguard OS/Wolfi OS * Альма Linux 8.4 или более поздней версии * Рокки Linux 8.7 или более поздней версии * Минимус * Photon OS 2.0-5.0 * Docker Hardened Images (DHI) |
Пакеты, специфичные для языка
|
Supported *Питон * Node.js *PHP *Рубин *Ржавчина * .NET *Ява *Идти |
Функции защиты во время выполнения
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
AKS |
Общедоступная версия |
Общедоступная версия |
Для работы требуется датчик Defender |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Защита от вредоносных программ |
Обнаружение вредоносного ПО |
AKS |
Общедоступная версия |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
AKS |
Общедоступная версия |
- |
Для работы требуется датчик Defender |
Defender для контейнеров |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
AKS |
Preview |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
AKS |
Общедоступная версия |
Общедоступная версия |
Активировано по плану |
Defender для контейнеров |
Коммерческие облака, Национальные облака: Azure для государственных организаций, Azure, управляемая 21Vianet |
| Обнаружение DNS |
Выявляет подозрительную DNS активность в контейнерных нагрузках |
AKS |
Общедоступная версия |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
Коммерческие облака |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
Узлы AKS |
Общедоступная версия |
Общедоступная версия |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов, план 2 |
- |
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
AKS |
Preview |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
AKS |
Общедоступная версия |
- |
Для работы требуется датчик Defender |
Defender для контейнеров |
Коммерческие облака и национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Дистрибутивы и конфигурации Kubernetes для защиты от угроз среды выполнения в Azure
1 Все сертифицированные кластеры Kubernetes с сертификатом Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
EKS |
Общедоступная версия |
Общедоступная версия |
Для работы требуется датчик Defender |
Defender для контейнеров |
AWS |
| Защита от вредоносных программ |
Обнаружение вредоносного ПО |
EKS |
Общедоступная версия |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
AWS |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
EKS |
Общедоступная версия |
- |
Для работы требуется датчик Defender |
Defender для контейнеров |
AWS |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
EKS |
Preview |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
AWS |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
EKS |
Общедоступная версия |
Общедоступная версия |
Активировано по плану |
Defender для контейнеров |
AWS |
| Обнаружение DNS |
Выявляет подозрительную DNS активность в контейнерных нагрузках |
EKS |
Общедоступная версия |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
AWS |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
Узлы EKS |
Общедоступная версия |
Общедоступная версия |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов, план 2 |
- |
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
EKS |
Preview |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
AWS |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
EKS |
Общедоступная версия |
- |
Для работы требуется датчик Defender |
Defender для контейнеров |
AWS |
Поддержка дистрибутивов и конфигураций Kubernetes для защиты от угроз среды выполнения в AWS
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
GKE |
Общедоступная версия |
Общедоступная версия |
Для работы требуется датчик Defender |
Defender для контейнеров |
GCP |
| Защита от вредоносных программ |
Обнаружение вредоносного ПО |
GKE |
Общедоступная версия |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
GCP |
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
GKE |
Общедоступная версия |
- |
Для работы требуется датчик Defender |
Defender для контейнеров |
GCP |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
GKE |
Preview |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
GCP |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
GKE |
Общедоступная версия |
Общедоступная версия |
Активировано по плану |
Defender для контейнеров |
GCP |
| Обнаружение DNS |
Выявляет подозрительную DNS активность в контейнерных нагрузках |
GKE |
Общедоступная версия |
- |
Требуется датчик Defender, подключаемый через Helm |
Defender для контейнеров |
GCP |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
Узлы GKE |
Общедоступная версия |
Общедоступная версия |
Требуется сканирование без агента для компьютеров |
Defender для контейнеров или Defender для серверов, план 2 |
- |
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
GKE |
Preview |
- |
Требуется датчик Defender и API доступа K8S |
Defender для контейнеров |
GCP |
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
GKE |
Общедоступная версия |
- |
Для работы требуется датчик Defender |
Defender для контейнеров |
GCP |
Поддержка дистрибутивов и конфигураций Kubernetes для защиты от угроз среды выполнения в GCP
| Аспект |
Details |
| Дистрибутивы и конфигурации Kubernetes |
Supported
Google Kubernetes Engine (GKE) Standard
Поддерживается через Kubernetes с включенным Arc12
Kubernetes
Unsupported
Кластеры частной сети
GKE Autopilot (автопилот) * GKE AuthorizedNetworksConfig (Настройки Авторизованных Сетей) |
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Обнаружение плоскости управления |
Обнаружение подозрительной активности в Kubernetes на основе журнала аудита Kubernetes. |
Кластеры Kubernetes с поддержкой Arc |
Preview |
Preview |
Для работы требуется датчик Defender |
Defender для контейнеров |
|
| Обнаружение рабочей нагрузки |
Мониторит контейнеризованные рабочие нагрузки на наличие угроз и отправляет оповещения о подозрительной активности. |
Кластеры Kubernetes с поддержкой Arc |
Preview |
- |
Для работы требуется датчик Defender |
Defender для контейнеров |
|
| Обнаружение двоичного смещения |
Определяет двоичный файл контейнера среды выполнения из образа контейнера |
- |
- |
- |
- |
- |
- |
| Блокировка двоичного смещения |
Блокирует двоичное смещение в контейнерах среды выполнения |
- |
- |
- |
- |
- |
|
| Расширенный поиск в XDR |
Просмотр инцидентов и оповещений кластера в Microsoft XDR |
Кластеры Kubernetes с поддержкой Arc |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Предварительная версия — в настоящее время поддерживает журналы аудита и события обработки |
Для работы требуется датчик Defender |
Defender для контейнеров |
|
| Действия реагирования в XDR |
Обеспечивает автоматическое и ручное исправление в Microsoft XDR |
- |
- |
- |
- |
- |
- |
| Обнаружение вредоносных программ |
Обнаружение вредоносного ПО |
- |
- |
- |
- |
- |
- |
Дистрибутивы и конфигурации Kubernetes для защиты от угроз среды выполнения в Kubernetes с поддержкой Arc
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Функции управления состоянием безопасности
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Бесагентное обнаружение для Kubernetes1 |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
AKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ACR, AKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Анализ пути атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
ACR, AKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
CSPM в Microsoft Defender |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ACR, AKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
|
Усиление плоскости управления1 |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
ACR, AKS |
Общедоступная версия |
Общедоступная версия |
Активировано по плану |
Free |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
|
Ужесточение рабочей нагрузки1 |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
AKS |
Общедоступная версия |
- |
Требуется политика Azure |
Free |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| CIS Служба Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
AKS |
Общедоступная версия |
- |
Требуется доступ к API K8S и назначенный стандарт безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Коммерческие облака
Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet
|
1 Эту функцию можно включить для отдельного кластера при включении Defender для контейнеров на уровне ресурсов кластера.
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
EKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
коммерческие облака Azure |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
ECR, EKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
| Анализ пути атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
ECR, EKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Defender CSPM (требуется включить обнаружение без агента для Kubernetes) |
AWS |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
ECR, EKS |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
EKS |
Общедоступная версия |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Free |
AWS |
| CIS Служба Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
EKS |
Общедоступная версия |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
AWS |
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
GKE |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
GCR, GAR, GKE |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
| Анализ пути атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
GCR, GAR, GKE |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
CSPM в Microsoft Defender |
GCP |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
GCR, GAR, GKE |
Общедоступная версия |
Общедоступная версия |
Требуется K8S API access |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
GKE |
Общедоступная версия |
Общедоступная версия |
Активировано с планом |
Free |
GCP |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
GKE |
Общедоступная версия |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Free |
GCP |
| CIS Служба Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
GKE |
Общедоступная версия |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
GCP |
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
|
Безагентное обнаружение для Kubernetes |
Предоставляет нулевой объем, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. |
- |
- |
- |
- |
- |
- |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
- |
- |
- |
- |
- |
- |
| Анализ пути атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
- |
- |
- |
- |
- |
- |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
- |
- |
- |
- |
- |
- |
|
Укрепление контрольной плоскости |
Постоянно оценивает конфигурации ваших кластеров и сравнивает их с инициативами, примененными к вашим подпискам. При обнаружении неправильных конфигураций Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют расследовать и устранять проблемы. |
- |
- |
- |
- |
- |
- |
|
Ужесточение рабочей нагрузки |
Защитите рабочие нагрузки ваших контейнеров Kubernetes с помощью рекомендаций по лучшим практикам. |
Кластер Kubernetes с поддержкой Arc |
Общедоступная версия |
- |
Требуется Автоматическое предоставление расширения политики Azure для Azure Arc |
Защитник для контейнеров |
Кластер Kubernetes с поддержкой Arc |
| CIS Служба Azure Kubernetes |
Cis Служба Azure Kubernetes Benchmark |
Виртуальные машины с поддержкой Arc |
Preview |
- |
Назначен в качестве стандарта безопасности |
Защитник для контейнеров ИЛИ Защитник CSPM |
Кластер Kubernetes с поддержкой Arc |
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Plans |
Доступность облачных служб |
| Комплексные возможности управления запасами |
Позволяет вам исследовать ресурсы, поды, сервисы, репозитории, образы и конфигурации с помощью security explorer для легкого мониторинга и управления вашими активами. |
Docker Hub, JFrog Artifactory |
Общедоступная версия |
Общедоступная версия |
Создание соединителя |
Foundational CSPM OR Defender CSPM OR Defender для контейнеров |
- |
| Анализ пути атаки |
Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование выявляет пути, которые злоумышленники могут использовать для атаки на вашу среду. |
Docker Hub, JFrog Artifactory |
Общедоступная версия |
Общедоступная версия |
Создание соединителя |
CSPM в Microsoft Defender |
- |
| Улучшенная охота на риск |
Позволяет администраторам безопасности активно выявлять проблемы с конфигурацией в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и сведений о безопасности в обозревателе безопасности. |
Docker Hub, JFrog |
Общедоступная версия |
Общедоступная версия |
Создание соединителя |
Защитник для контейнеров ИЛИ Защитник CSPM |
|
Функции защиты цепочки поставок программного обеспечения для контейнеров
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
Доступность в облаках |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
AKS 1.31 или более поздней версии (включая AKS Automatic)1 |
Общедоступная версия |
- |
Требуется датчик Defender, датчик безопасности, результаты безопасности и доступ к реестру. |
Коммерческие облака |
| Контроль неправильной конфигурации Kubernetes |
Проводит аудит или блокирует развертывания Kubernetes, которые не соответствуют рекомендациям Microsoft по передовым методам обеспечения безопасности |
AKS |
Общедоступная версия |
- |
Требуется доступ к API Kubernetes. Для ручного развертывания поддерживается Helm. |
Коммерческие облака |
1 В автоматических кластерах AKS датчик Defender должен быть установлен с помощью Helm в пространстве имен kube-system. Установка в mdc пространстве имен и развертывание надстроек не поддерживаются для инкрементного развертывания.
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
EKS 1.31 или более поздней версии, Реестр контейнеров Amazon Elastic (ECR) |
Общедоступная версия |
- |
Требуется датчик Defender, контроль доступа, выводы о безопасности и доступ к реестру |
| Контроль неправильной конфигурации Kubernetes |
Проверяет или блокирует развертывания Kubernetes, которые не соответствуют рекомендациям Microsoft по безопасности на основе лучших практик |
EKS |
Общедоступная версия |
- |
Требуется защита от угроз без агента. Для ручного развертывания поддерживается Helm. |
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
GKE 1.31 или более поздней версии, Реестр артефактов Google |
Общедоступная версия |
- |
Требуется датчик Defender, контроль доступа, выводы о безопасности и доступ к реестру |
| Контроль неправильной конфигурации Kubernetes |
Проверяет или блокирует развертывания Kubernetes, которые не соответствуют рекомендациям Microsoft по безопасности на основе лучших практик |
GKE |
Общедоступная версия |
- |
Требуется защита от угроз без агента. Для ручного развертывания поддерживается Helm. |
| Функция |
Description |
Поддерживаемые ресурсы |
Состояние релиза Linux |
состояние выпуска Windows |
Метод активации |
| Развертывание с контрольными точками |
Граничная развертка образов контейнеров в вашей среде Kubernetes |
Кластеры Kubernetes с поддержкой Arc |
Общедоступная версия |
- |
Требуются датчик Defender, контроль безопасности, результаты проверки безопасности и доступ к реестру |
| Контроль неправильной конфигурации Kubernetes |
Проверяет или блокирует развертывания Kubernetes, которые не соответствуют рекомендациям Microsoft по безопасности на основе лучших практик |
Кластеры Kubernetes с поддержкой Arc |
Общедоступная версия |
- |
Требуется доступ к API Kubernetes. Для ручного развертывания поддерживается Helm. |
Ограничения сети
| Аспект |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в вашем кластере Kubernetes в AWS включены ограничения на IP-адреса плоскости управления (см. Управление доступом к конечным точкам кластера Amazon EKS - Amazon EKS), конфигурация ограничений IP-адресов плоскости управления обновляется, чтобы включать CIDR-блок Microsoft Defender для облака. |
| Аспект |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
| Кластеры с ограничениями по IP-адресам |
Если в вашем кластере Kubernetes в GCP включены ограничения IP для контрольной плоскости (см. GKE - Добавление авторизованных сетей для доступа к контрольной плоскости), конфигурация ограничения IP для контрольной плоскости обновляетcя для включения CIDR-блока Microsoft Defender для облака. |
| Аспект |
Details |
| Поддержка исходящего прокси-сервера |
Поддерживается исходящий прокси без аутентификации и исходящий прокси с основной аутентификацией. В настоящее время исходящие прокси-серверы, которые требуют доверенных сертификатов, не поддерживаются. |
Поддерживаемые операционные системы хоста
Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender поддерживается только с ядром Linux версии 5.4 и выше на следующих операционных системах хоста:
- Amazon Linux 2
- AWS Bottlerocket (подготовка только через Helm)
- CentOS 8 (CentOS достигла конца службы 30 июня 2024 г. Дополнительные сведения см. в руководстве centOS End Of Life.)
- Debian 10
- Debian 11
- Google Container-Optimized OS (Операционная система, оптимизированная для контейнеров)
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Убедитесь, что узел Kubernetes работает в одной из этих проверенных операционных систем. Кластеры с неподдерживаемыми операционными системами узлов не получают преимущества от функций, использующих датчик Defender.
ограничения датчика Defender
Датчик Defender в AKS версии 1.28 и более ранних версиях не поддерживает узлы Arm64.
Дальнейшие действия