Matice podpory kontejnerů v defenderu pro cloud
Upozornění
Tento článek odkazuje na CentOS, linuxovou distribuci, která se blíží stavu Konec životnosti (EOL). Zvažte své použití a plánování odpovídajícím způsobem. Další informace najdete v doprovodných materiálech CentOS End Of Life.
Tento článek shrnuje informace o podpoře pro funkce kontejnerů v programu Microsoft Defender for Cloud.
Poznámka:
- Konkrétní funkce jsou ve verzi Preview. Dodatkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou v beta verzi, preview nebo které ještě nejsou vydány v obecné dostupnosti.
- Defender for Cloud oficiálně podporuje jenom verze AKS, EKS a GKE podporované dodavatelem cloudu.
Důležité
Posouzení ohrožení zabezpečení v Defenderu pro cloudové kontejnery využívající Qualys se vyřadí z důchodu. Vyřazení bude dokončeno do 6. března a až do té doby se částečné výsledky mohou stále zobrazovat v doporučeních Qualys a Qualys výsledky v grafu zabezpečení. Všechny zákazníky, kteří dříve používali toto posouzení, by měli upgradovat na posouzení ohrožení zabezpečení pro Azure s využitím Microsoft Defender Správa zranitelností. Informace o přechodu na nabídku posouzení ohrožení zabezpečení kontejneru využívající Microsoft Defender Správa zranitelností najdete v tématu Přechod z Qualys na Microsoft Defender Správa zranitelností.
Azure
Níže jsou uvedené funkce pro každou z domén v programu Defender for Containers:
Správa stavu zabezpečení
| Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
|---|---|---|---|---|---|---|---|---|
| Zjišťování bez agentů pro Kubernetes | Poskytuje nulové nároky na využití, zjišťování clusterů Kubernetes založených na rozhraní API, jejich konfigurace a nasazení. | AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
| Komplexní možnosti inventáře | Umožňuje zkoumat prostředky, pody, služby, úložiště, image a konfigurace prostřednictvím Průzkumníka zabezpečení a snadno monitorovat a spravovat vaše prostředky. | ACR, AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
| Analýza cesty útoku | Grafový algoritmus, který prohledá graf zabezpečení cloudu. Kontroly zpřístupňují zneužitelné cesty, které by útočníci mohli použít k narušení vašeho prostředí. | ACR, AKS | GA | GA | Aktivováno s plánem | Bez agenta | CsPM v programu Defender (vyžaduje, aby bylo povolené zjišťování bez agentů pro Kubernetes) | Komerční cloudy Azure |
| Rozšířené proaktivní vyhledávání rizik | Umožňuje správcům zabezpečení aktivně vyhledávat problémy s stavem v kontejnerizovaných prostředcích prostřednictvím dotazů (integrovaných a vlastních) a přehledů zabezpečení v Průzkumníku zabezpečení. | ACR, AKS | GA | GA | Povolení zjišťování bez agentů na přepínači Kubernetes | Bez agenta | Defender for Containers OR Defender – CSPM | Komerční cloudy Azure |
| Posílení řídicí roviny | Průběžně vyhodnocuje konfigurace vašich clusterů a porovnává je s iniciativami použitými u vašich předplatných. Když najde chybné konfigurace, Defender for Cloud vygeneruje doporučení zabezpečení, která jsou k dispozici na stránce Doporučení pro Defender for Cloud. Doporučení vám umožňují prozkoumat a opravit problémy. | ACR, AKS | GA | Preview | Aktivováno s plánem | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Posílení zabezpečení roviny dat Kubernetes | Chraňte úlohy kontejnerů Kubernetes s doporučeními osvědčených postupů. | AKS | GA | - | Povolení přepínače Azure Policy pro Kubernetes | Azure Policy | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Docker CIS | Srovnávací test CIS Dockeru | Virtuální počítač, škálovací sada virtuálních počítačů | GA | - | Povoleno s plánem | Agent Log Analytics | Defender for Servers Plan 2 | Komerční cloudy Národní cloudy: Azure Government, Microsoft Azure provozovaný společností 21Vianet |
Posouzení ohrožení zabezpečení
Ochrana před internetovými útoky za běhu
| Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
|---|---|---|---|---|---|---|---|---|
| Řídicí rovina | Detekce podezřelé aktivity pro Kubernetes na základě záznamu auditu Kubernetes | AKS | GA | GA | Povoleno s plánem | Bez agenta | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Úloha | Detekce podezřelé aktivity pro Kubernetes pro úroveň clusteru, úroveň uzlu a úroveň úloh | AKS | GA | - | Povolení senzoru Defenderu v Azure nebo nasazení senzorů Defenderu na jednotlivé clustery | Senzor defenderu | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure China 21Vianet |
Nasazení a monitorování
| Funkce | Popis | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Metoda Enablement | Senzor | Plány | Dostupnost cloudů Azure |
|---|---|---|---|---|---|---|---|---|
| Zjišťování nechráněných clusterů | Zjišťování clusterů Kubernetes s chybějícími senzory Defenderu | AKS | GA | GA | Povoleno s plánem | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Automatické zřizování senzoru Defenderu | Automatické nasazení senzoru Defenderu | AKS | GA | - | Přepínač Povolení senzoru Defenderu v Azure | Bez agenta | Defender pro kontejnery | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
| Automatické zřizování Azure Policy pro Kubernetes | Automatické nasazení senzoru zásad Azure pro Kubernetes | AKS | GA | - | Povolení přepínače Azure Policy pro Kubernetes | Bez agenta | Bezplatný | Komerční cloudy Národní cloudy: Azure Government, Azure provozovaný společností 21Vianet |
Podpora registrů a imagí pro Azure – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
| Aspekt | Detaily |
|---|---|
| Registry a image | Podporuje se • Registry ACR • Registry ACR chráněné službou Azure Private Link (privátní registry vyžadují přístup k důvěryhodným službám) • Image kontejnerů ve formátu Docker V2 • Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se • Super-minimalistické obrázky, jako jsou pomocné image Dockeru je momentálně nepodporovaný. |
| Operační systémy | Podporuje se • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (založený na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Balíčky specifické pro jazyk |
Podporuje se •Python •Node.js •.ČISTÉ •JAVA •Jít |
Distribuce a konfigurace Kubernetes pro Azure – Ochrana před internetovými útoky za běhu
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporuje se • Azure Kubernetes Service (AKS) s RBAC Kubernetes Podporováno prostřednictvím Kubernetes s podporou Arc 12 • Hybridní služba Azure Kubernetes Service • Kubernetes • Modul AKS • Azure Red Hat OpenShift |
1 Všechny clustery Kubernetes s certifikací CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale v Azure byly testovány pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Omezení služby Private Link
Defender for Containers využívá senzor Defenderu pro několik funkcí. Senzor Defenderu nepodporuje schopnost ingestovat data prostřednictvím služby Private Link. Veřejný přístup pro příjem dat můžete zakázat, aby do této pracovní stanice mohly odesílat data jenom počítače nakonfigurované tak, aby odesílaly provoz prostřednictvím služby Azure Monitor Private Link. Privátní propojení můžete nakonfigurovat tak, že přejdete na your workspace>izolaci sítě a nastavíte konfigurace přístupu k virtuálním sítím na Ne.
Povolení příjmu dat pouze prostřednictvím oboru služby Private Link v nastavení izolace sítě pracovního prostoru může vést k selhání komunikace a částečnému sblížení sady funkcí Defenderu for Containers.
Naučte se používat Azure Private Link k připojení sítí ke službě Azure Monitor.
AWS
| Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
|---|---|---|---|---|---|---|
| Správa stavu zabezpečení | Zjišťování bez agentů pro Kubernetes | EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Komplexní možnosti inventáře | ECR, EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Analýza cesty útoku | ECR, EKS | GA | GA | Bez agenta | Defender CSPM |
| Správa stavu zabezpečení | Rozšířené proaktivní vyhledávání rizik | ECR, EKS | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Docker CIS | EC2 | GA | - | Agent Log Analytics | Defender for Servers Plan 2 |
| Správa stavu zabezpečení | Posílení řídicí roviny | - | - | - | - | - |
| Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | EKS | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
| Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | ECR | GA | GA | Bez agenta | Defender for Containers nebo CSPM v programu Defender |
| Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | EKS | GA | GA | Snímač bez agentů NEBO/AND Defender | Defender for Containers nebo CSPM v programu Defender |
| Ochrana za běhu | Řídicí rovina | EKS | GA | GA | Bez agenta | Defender pro kontejnery |
| Ochrana za běhu | Úloha | EKS | GA | - | Senzor defenderu | Defender pro kontejnery |
| Nasazení a monitorování | Zjišťování nechráněných clusterů | EKS | GA | GA | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování senzoru Defenderu | EKS | GA | - | - | - |
| Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | EKS | GA | - | - | - |
Podpora registrů a imagí pro AWS – posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
| Aspekt | Detaily |
|---|---|
| Registry a image | Podporuje se • Registry ECR • Image kontejnerů ve formátu Docker V2 • Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se • V současné době se nepodporují super minimalistické image, jako jsou pomocné image Dockeru. • Veřejná úložiště • Seznamy manifestů |
| Operační systémy | Podporuje se • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (založený na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Balíčky specifické pro jazyk |
Podporuje se •Python •Node.js •.ČISTÉ •JAVA •Jít |
Podpora distribucí a konfigurací Kubernetes pro AWS – Ochrana před internetovými útoky za běhu
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporuje se • Amazon Elastic Kubernetes Service (EKS) Podporováno prostřednictvím Kubernetes s podporou Arc 12 • Kubernetes Nepodporuje se • Privátní clustery EKS |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podpora odchozího proxy serveru – AWS
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
GCP
| Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
|---|---|---|---|---|---|---|
| Správa stavu zabezpečení | Zjišťování bez agentů pro Kubernetes | GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Komplexní možnosti inventáře | GAR, GCR, GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Analýza cesty útoku | GAR, GCR, GKE | GA | GA | Bez agenta | Defender CSPM |
| Správa stavu zabezpečení | Rozšířené proaktivní vyhledávání rizik | GAR, GCR, GKE | GA | GA | Bez agenta | Defender for Containers OR Defender – CSPM |
| Správa stavu zabezpečení | Docker CIS | Virtuální počítače GCP | GA | - | Agent Log Analytics | Defender for Servers Plan 2 |
| Správa stavu zabezpečení | Posílení řídicí roviny | GKE | GA | GA | Bez agenta | Bezplatný |
| Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | GKE | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
| Posouzení ohrožení zabezpečení | Podporované balíčky pro kontrolu registru bez agentů (s podporou Microsoft Defender Správa zranitelností) | GAR, GCR | GA | GA | Bez agenta | Defender for Containers nebo CSPM v programu Defender |
| Posouzení ohrožení zabezpečení | Podporované balíčky bez agenta nebo modul runtime založené na senzorech (s podporou Microsoft Defender Správa zranitelností) | GKE | GA | GA | Snímač bez agentů NEBO/AND Defender | Defender for Containers nebo CSPM v programu Defender |
| Ochrana za běhu | Řídicí rovina | GKE | GA | GA | Bez agenta | Defender pro kontejnery |
| Ochrana za běhu | Úloha | GKE | GA | - | Senzor defenderu | Defender pro kontejnery |
| Nasazení a monitorování | Zjišťování nechráněných clusterů | GKE | GA | GA | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování senzoru Defenderu | GKE | GA | - | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | GKE | GA | - | Bez agenta | Defender pro kontejnery |
Podpora registrů a imagí pro GCP – Posouzení ohrožení zabezpečení s využitím Microsoft Defender Správa zranitelností
| Aspekt | Detaily |
|---|---|
| Registry a image | Podporuje se • Registry Google (GAR, GCR) • Image kontejnerů ve formátu Docker V2 • Image se specifikací formátu image Open Container Initiative (OCI) Nepodporuje se • V současné době se nepodporují super minimalistické image, jako jsou pomocné image Dockeru. • Veřejná úložiště • Seznamy manifestů |
| Operační systémy | Podporuje se • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (založený na Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Balíčky specifické pro jazyk |
Podporuje se •Python •Node.js •.ČISTÉ •JAVA •Jít |
Podpora distribucí a konfigurací Kubernetes pro GCP – Ochrana před hrozbami za běhu
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporuje se • Google Kubernetes Engine (GKE) Standard Podporováno prostřednictvím Kubernetes s podporou Arc 12 • Kubernetes Nepodporuje se • Clustery privátní sítě • GKE Autopilot • GKE AuthorizedNetworksConfig |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podpora odchozího proxy serveru – GCP
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Místní clustery Kubernetes s podporou arc
| Doména | Funkce | Podporované prostředky | Stav vydání Linuxu | Stav vydání Windows | Bez agentů nebo senzory | Cenová úroveň |
|---|---|---|---|---|---|---|
| Správa stavu zabezpečení | Docker CIS | Virtuální počítače s podporou arc | Preview | - | Agent Log Analytics | Defender for Servers Plan 2 |
| Správa stavu zabezpečení | Posílení řídicí roviny | - | - | - | - | - |
| Správa stavu zabezpečení | Posílení zabezpečení roviny dat Kubernetes | Clustery K8s s podporou arc | GA | - | Azure Policy pro Kubernetes | Defender pro kontejnery |
| Ochrana za běhu | Ochrana před hrozbami (řídicí rovina) | Clustery K8s s podporou arc | Preview | Preview | Senzor defenderu | Defender pro kontejnery |
| Ochrana za běhu | Ochrana před hrozbami (úloha) | Clustery K8s s podporou arc | Preview | - | Senzor defenderu | Defender pro kontejnery |
| Nasazení a monitorování | Zjišťování nechráněných clusterů | Clustery K8s s podporou arc | Preview | - | Bez agenta | Bezplatný |
| Nasazení a monitorování | Automatické zřizování senzoru Defenderu | Clustery K8s s podporou arc | Preview | Preview | Bez agenta | Defender pro kontejnery |
| Nasazení a monitorování | Automatické zřizování služby Azure Policy pro Kubernetes | Clustery K8s s podporou arc | Preview | - | Bez agenta | Defender pro kontejnery |
Distribuce a konfigurace Kubernetes
| Aspekt | Detaily |
|---|---|
| Distribuce a konfigurace Kubernetes | Podporováno prostřednictvím Kubernetes s podporou Arc 12 • Hybridní služba Azure Kubernetes Service • Kubernetes • Modul AKS • Azure Red Hat OpenShift • Red Hat OpenShift (verze 4.6 nebo novější) • VMware Tanzu Kubernetes Grid • Modul Rancher Kubernetes |
1 Všechny clustery Kubernetes certifikované pro CLOUD Native Computing Foundation (CNCF) by se měly podporovat, ale testovaly se pouze zadané clustery.
2 Pokud chcete získat ochranu Microsoft Defenderu pro kontejnery pro vaše prostředí, musíte nasadit Kubernetes s podporou Azure Arc a povolit Defender for Containers jako rozšíření Arc.
Poznámka:
Další požadavky na ochranu úloh Kubernetes najdete v existujících omezeních.
Podporované hostitelské operační systémy
Defender for Containers využívá senzor Defenderu pro několik funkcí. Senzor Defenderu je podporovaný v následujících hostitelských operačních systémech:
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- Operační systém optimalizovaný pro kontejnery Google
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Ujistěte se, že váš uzel Kubernetes běží na jednom z ověřených podporovaných operačních systémů. Clustery s různými hostitelskými operačními systémy získají pouze částečné pokrytí.
Omezení senzoru Defenderu
Senzor Defenderu v AKS V1.28 a níže není na uzlech ARM64 podporovaný.
Omezení sítě
Privátní propojení
Defender for Containers využívá senzor Defenderu pro několik funkcí. Senzor Defenderu nepodporuje schopnost ingestovat data prostřednictvím služby Private Link. Veřejný přístup pro příjem dat můžete zakázat, aby do této pracovní stanice mohly odesílat data jenom počítače nakonfigurované tak, aby odesílaly provoz prostřednictvím služby Azure Monitor Private Link. Privátní propojení můžete nakonfigurovat tak, že přejdete na your workspace>izolaci sítě a nastavíte konfigurace přístupu k virtuálním sítím na Ne.
Povolení příjmu dat pouze prostřednictvím oboru služby Private Link v nastavení izolace sítě pracovního prostoru může vést k selhání komunikace a částečnému sblížení sady funkcí Defenderu for Containers.
Naučte se používat Azure Private Link k připojení sítí ke službě Azure Monitor.
Podpora odchozího proxy serveru
Odchozí proxy server bez ověřování a odchozí proxy server se základním ověřováním jsou podporovány. Odchozí proxy server, který očekává důvěryhodné certifikáty, není v současné době podporován.
Další kroky
- Zjistěte, jak Defender pro cloud shromažďuje data pomocí agenta Log Analytics.
- Zjistěte, jak Defender pro cloud spravuje a chrání data.
- Projděte si platformy, které podporují Defender for Cloud.