Matriz de suporte de contêineres no Defender for Cloud
Atenção
Este artigo faz referência ao CentOS, uma distribuição Linux que está se aproximando do status de Fim da Vida Útil (EOL). Por favor, considere o seu uso e planejamento de acordo. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.
Este artigo resume as informações de suporte para recursos de contêiner no Microsoft Defender for Cloud.
Nota
- Características específicas estão em pré-visualização. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
- Apenas as versões do AKS, EKS e GKE suportadas pelo fornecedor de nuvem são oficialmente suportadas pelo Defender for Cloud.
Importante
O Defender for Cloud Containers Vulnerability Assessment desenvolvido pela Qualys está sendo desativado. A aposentadoria será concluída até 6 de março e, até lá, os resultados parciais ainda podem aparecer tanto nas recomendações da Qualys, quanto nos resultados da Qualys no gráfico de segurança. Todos os clientes que estavam usando essa avaliação anteriormente devem atualizar para Avaliações de vulnerabilidade do Azure com o Gerenciamento de Vulnerabilidades do Microsoft Defender. Para obter informações sobre a transição para a oferta de avaliação de vulnerabilidade de contêiner fornecida pelo Microsoft Defender Vulnerability Management, consulte Transição do Qualys para o Microsoft Defender Vulnerability Management.
Azure
A seguir estão os recursos para cada um dos domínios no Defender for Containers:
Gestão da postura de segurança
| Funcionalidade | Description | Recursos suportados | Estado da versão Linux | Estado de lançamento do Windows | Método de habilitação | Sensor | Planos | Disponibilidade das nuvens do Azure |
|---|---|---|---|---|---|---|---|---|
| Descoberta sem agente para Kubernetes | Fornece descoberta baseada em API de zero pegada de clusters Kubernetes, suas configurações e implantações. | AKS | GA | GA | Ativar a descoberta sem agente no Kubernetes alternar | Sem agente | Defender for Containers OU Defender CSPM | Nuvens comerciais do Azure |
| Recursos abrangentes de inventário | Permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos. | ACR, AKS | GA | GA | Ativar a descoberta sem agente no Kubernetes alternar | Sem agente | Defender for Containers OU Defender CSPM | Nuvens comerciais do Azure |
| Análise de trajetória de ataque | Um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para invadir seu ambiente. | ACR, AKS | GA | - | Ativado com plano | Sem agente | Defender CSPM (requer a descoberta sem agente para que o Kubernetes seja habilitado) | Nuvens comerciais do Azure |
| Maior caça ao risco | Permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no gerenciador de segurança. | ACR, AKS | GA | - | Ativar a descoberta sem agente no Kubernetes alternar | Sem agente | Defender for Containers OU Defender CSPM | Nuvens comerciais do Azure |
| Endurecimento do plano de controlo | Avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas. | ACR, AKS | GA | Pré-visualizar | Ativado com plano | Sem agente | Gratuito | Nuvens comerciais Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Proteção do plano de dados do Kubernetes | Proteja as cargas de trabalho de seus contêineres Kubernetes com recomendações de práticas recomendadas. | AKS | GA | - | Alternar a Política do Azure para Kubernetes | Azure Policy | Gratuito | Nuvens comerciais Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Docker CIS | Benchmark do Docker CIS | VM, Conjunto de Dimensionamento de Máquina Virtual | GA | - | Ativado com plano | Agente do Log Analytics | Plano 2 do Defender for Servers | Nuvens comerciais Nuvens nacionais: Azure Government, Microsoft Azure operado pela 21Vianet |
Avaliação de vulnerabilidades
Proteção contra ameaças em tempo de execução
| Funcionalidade | Description | Recursos suportados | Estado da versão Linux | Estado de lançamento do Windows | Método de habilitação | Sensor | Planos | Disponibilidade das nuvens do Azure |
|---|---|---|---|---|---|---|---|---|
| Plano de controlo | Deteção de atividades suspeitas para o Kubernetes com base na trilha de auditoria do Kubernetes | AKS | GA | GA | Ativado com plano | Sem agente | Defender para Contentores | Nuvens comerciais Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Carga de trabalho | Deteção de atividades suspeitas para o Kubernetes para nível de cluster, nível de nó e nível de carga de trabalho | AKS | GA | - | Habilitar o Sensor Defender no Azure OU implantar sensores Defender em clusters individuais | Sensor Defender | Defender para Contentores | Nuvens comerciais Nuvens nacionais: Azure Government, Azure China 21Vianet |
Implantação e monitoramento
| Funcionalidade | Description | Recursos suportados | Estado da versão Linux | Estado de lançamento do Windows | Método de habilitação | Sensor | Planos | Disponibilidade das nuvens do Azure |
|---|---|---|---|---|---|---|---|---|
| Descoberta de clusters desprotegidos | Descobrindo clusters Kubernetes sem sensores Defender | AKS | GA | GA | Ativado com plano | Sem agente | Gratuito | Nuvens comerciais Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Provisionamento automático do sensor Defender | Implantação automática do sensor Defender | AKS | GA | - | Ativar o Sensor Defender no Azure alternar | Sem agente | Defender para Contentores | Nuvens comerciais Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Política do Azure para provisionamento automático do Kubernetes | Implantação automática do sensor de política do Azure para Kubernetes | AKS | GA | - | Alternar a política do Azure para Kubernetes | Sem agente | Gratuito | Nuvens comerciais Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
Suporte a registros e imagens para o Azure - Avaliação de vulnerabilidades fornecida pelo Microsoft Defender Vulnerability Management
| Aspeto | Detalhes |
|---|---|
| Registos e imagens | Suportado • Registos ACR • Registos ACR protegidos com o Azure Private Link (os registos privados requerem acesso a Serviços Fidedignos) • Imagens de contêiner no formato Docker V2 • Imagens com especificação de formato de imagem Open Container Initiative (OCI) Não suportado • Imagens superminimalistas, como imagens de rascunho do Docker não é suportado no momento |
| Sistemas operativos | Suportado • Linux alpino 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (baseado no Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016, 2019, 2022 |
| Pacotes linguísticos específicos |
Suportado • Python • Node.js • .NET • JAVA • Vá |
Distribuições e configurações do Kubernetes para Azure - Proteção contra ameaças em tempo de execução
| Aspeto | Detalhes |
|---|---|
| Distribuições e configurações do Kubernetes | Suportado • Azure Kubernetes Service (AKS) com Kubernetes RBAC Suportado via Arc habilitado Kubernetes12 • Serviço Kubernetes do Azure híbrido • Kubernetes • Motor AKS • Azure Red Hat OpenShift |
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados no Azure.
2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.
Nota
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
Restrições de links privados
O Defender for Containers conta com o sensor Defender para vários recursos. O sensor Defender não suporta a capacidade de ingerir dados através do Private Link. Você pode desabilitar o acesso público para ingestão, para que apenas máquinas configuradas para enviar tráfego por meio do Azure Monitor Private Link possam enviar dados para essa estação de trabalho. Você pode configurar um link privado navegando até your workspace>Isolamento de Rede e definindo as configurações de acesso a redes virtuais como Não.
Permitir que a ingestão de dados ocorra somente por meio do Escopo de Link Privado nas configurações de Isolamento de Rede do seu espaço de trabalho pode resultar em falhas de comunicação e convergência parcial do conjunto de recursos do Defender for Containers.
Saiba como usar o Azure Private Link para conectar redes ao Azure Monitor.
AWS
| Domínio | Caraterística | Recursos suportados | Estado da versão Linux | Estado de lançamento do Windows | Sem agente/baseado em sensor | Escalão de preço |
|---|---|---|---|---|---|---|
| Gestão da postura de segurança | Descoberta sem agente para Kubernetes | EKS | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers OU Defender CSPM |
| Gestão da postura de segurança | Recursos abrangentes de inventário | ECR, EKS | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers OU Defender CSPM |
| Gestão da postura de segurança | Análise de trajetória de ataque | ECR, EKS | Pré-visualizar | - | Sem agente | GPSC do Defender |
| Gestão da postura de segurança | Maior caça ao risco | ECR, EKS | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers OU Defender CSPM |
| Gestão da postura de segurança | Docker CIS | EC2 | Pré-visualizar | - | Agente do Log Analytics | Plano 2 do Defender for Servers |
| Gestão da postura de segurança | Endurecimento do plano de controlo | - | - | - | - | - |
| Gestão da postura de segurança | Proteção do plano de dados do Kubernetes | EKS | GA | - | Azure Policy para o Kubernetes | Defender para Contentores |
| Avaliação de vulnerabilidades | Pacotes suportados para verificação de registro sem agente (com tecnologia Microsoft Defender Vulnerability Management) | ECR | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers ou Defender CSPM |
| Avaliação de vulnerabilidades | Pacotes suportados de tempo de execução sem agente/baseado em sensor (com tecnologia Microsoft Defender Vulnerability Management) | EKS | Pré-visualizar | Pré-visualizar | Sensor OR/And Defender sem agente | Defender for Containers ou Defender CSPM |
| Proteção em tempo de execução | Plano de controlo | EKS | Pré-visualizar | Pré-visualizar | Sem agente | Defender para Contentores |
| Proteção em tempo de execução | Carga de trabalho | EKS | Pré-visualizar | - | Sensor Defender | Defender para Contentores |
| Implantação e monitoramento | Descoberta de clusters desprotegidos | EKS | Pré-visualizar | - | Sem agente | Gratuito |
| Implantação e monitoramento | Provisionamento automático do sensor Defender | - | - | - | - | - |
| Implantação e monitoramento | Provisionamento automático da Política do Azure para Kubernetes | - | - | - | - | - |
Suporte a registros e imagens para AWS - Avaliação de vulnerabilidades fornecida pelo Microsoft Defender Vulnerability Management
| Aspeto | Detalhes |
|---|---|
| Registos e imagens | Suportado • Registos ECR • Imagens de contêiner no formato Docker V2 • Imagens com especificação de formato de imagem Open Container Initiative (OCI) Não suportado • Imagens superminimalistas, como imagens de rascunho do Docker, não são suportadas no momento • Repositórios públicos • Listas de manifestos |
| Sistemas operativos | Suportado • Linux alpino 3.12-3.16 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (baseado no Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Servidor Windows 2016, 2019, 2022 |
| Pacotes linguísticos específicos |
Suportado • Python • Node.js • .NET • JAVA • Vá |
Suporte a distribuições/configurações do Kubernetes para AWS - Proteção contra ameaças em tempo de execução
| Aspeto | Detalhes |
|---|---|
| Distribuições e configurações do Kubernetes | Suportado • Serviço Amazon Elastic Kubernetes (EKS) Suportado via Arc habilitado Kubernetes12 • Kubernetes Não suportado • Clusters privados EKS |
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados.
2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.
Nota
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
Suporte a proxy de saída - AWS
O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. O proxy de saída que espera certificados fidedignos não é suportado no momento.
GCP
| Domínio | Caraterística | Recursos suportados | Estado da versão Linux | Estado de lançamento do Windows | Sem agente/baseado em sensor | Escalão de preço |
|---|---|---|---|---|---|---|
| Gestão da postura de segurança | Descoberta sem agente para Kubernetes | GKE | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers OU Defender CSPM |
| Gestão da postura de segurança | Recursos abrangentes de inventário | GAR, GCR, GKE | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers OU Defender CSPM |
| Gestão da postura de segurança | Análise de trajetória de ataque | GAR, GCR, GKE | Pré-visualizar | - | Sem agente | GPSC do Defender |
| Gestão da postura de segurança | Maior caça ao risco | GAR, GCR, GKE | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers OU Defender CSPM |
| Gestão da postura de segurança | Docker CIS | GCP VMs | Pré-visualizar | - | Agente do Log Analytics | Plano 2 do Defender for Servers |
| Gestão da postura de segurança | Endurecimento do plano de controlo | GKE | GA | GA | Sem agente | Gratuito |
| Gestão da postura de segurança | Proteção do plano de dados do Kubernetes | GKE | GA | - | Azure Policy para o Kubernetes | Defender para Contentores |
| Avaliação de vulnerabilidades | Pacotes suportados para verificação de registro sem agente (com tecnologia Microsoft Defender Vulnerability Management) | GAR, GCR | Pré-visualizar | Pré-visualizar | Sem agente | Defender for Containers ou Defender CSPM |
| Avaliação de vulnerabilidades | Pacotes suportados de tempo de execução sem agente/baseado em sensor (com tecnologia Microsoft Defender Vulnerability Management) | GKE | Pré-visualizar | Pré-visualizar | Sensor OR/And Defender sem agente | Defender for Containers ou Defender CSPM |
| Proteção em tempo de execução | Plano de controlo | GKE | Pré-visualizar | Pré-visualizar | Sem agente | Defender para Contentores |
| Proteção em tempo de execução | Carga de trabalho | GKE | Pré-visualizar | - | Sensor Defender | Defender para Contentores |
| Implantação e monitoramento | Descoberta de clusters desprotegidos | GKE | Pré-visualizar | - | Sem agente | Gratuito |
| Implantação e monitoramento | Provisionamento automático do sensor Defender | GKE | Pré-visualizar | - | Sem agente | Defender para Contentores |
| Implantação e monitoramento | Provisionamento automático da Política do Azure para Kubernetes | GKE | Pré-visualizar | - | Sem agente | Defender para Contentores |
Suporte a registros e imagens para GCP - Avaliação de vulnerabilidades fornecida pelo Microsoft Defender Vulnerability Management
| Aspeto | Detalhes |
|---|---|
| Registos e imagens | Suportado • Registos Google (GAR, GCR) • Imagens de contêiner no formato Docker V2 • Imagens com especificação de formato de imagem Open Container Initiative (OCI) Não suportado • Imagens superminimalistas, como imagens de rascunho do Docker, não são suportadas no momento • Repositórios públicos • Listas de manifestos |
| Sistemas operativos | Suportado • Linux alpino 3.12-3.16 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (baseado no Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Servidor Windows 2016, 2019, 2022 |
| Pacotes linguísticos específicos |
Suportado • Python • Node.js • .NET • JAVA • Vá |
Suporte a distribuições/configurações do Kubernetes para GCP - Proteção contra ameaças em tempo de execução
| Aspeto | Detalhes |
|---|---|
| Distribuições e configurações do Kubernetes | Suportado • Google Kubernetes Engine (GKE) Standard Suportado via Arc habilitado Kubernetes12 • Kubernetes Não suportado • Clusters de rede privada • Piloto automático GKE • GKE AuthorizedNetworksConfig |
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados.
2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.
Nota
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
Suporte a proxy de saída - GCP
O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. O proxy de saída que espera certificados fidedignos não é suportado no momento.
Clusters Kubernetes locais habilitados para Arc
| Domínio | Caraterística | Recursos suportados | Estado da versão Linux | Estado de lançamento do Windows | Sem agente/baseado em sensor | Escalão de preço |
|---|---|---|---|---|---|---|
| Gestão da postura de segurança | Docker CIS | VMs habilitadas para Arc | Pré-visualizar | - | Agente do Log Analytics | Plano 2 do Defender for Servers |
| Gestão da postura de segurança | Endurecimento do plano de controlo | - | - | - | - | - |
| Gestão da postura de segurança | Proteção do plano de dados do Kubernetes | Clusters K8s habilitados para Arc | GA | - | Azure Policy para o Kubernetes | Defender para Contentores |
| Proteção em tempo de execução | Proteção contra ameaças (plano de controlo) | Clusters K8s habilitados para Arc | Pré-visualizar | Pré-visualizar | Sensor Defender | Defender para Contentores |
| Proteção em tempo de execução | Proteção contra ameaças (carga de trabalho) | Clusters K8s habilitados para Arc | Pré-visualizar | - | Sensor Defender | Defender para Contentores |
| Implantação e monitoramento | Descoberta de clusters desprotegidos | Clusters K8s habilitados para Arc | Pré-visualizar | - | Sem agente | Gratuito |
| Implantação e monitoramento | Provisionamento automático do sensor Defender | Clusters K8s habilitados para Arc | Pré-visualizar | Pré-visualizar | Sem agente | Defender para Contentores |
| Implantação e monitoramento | Provisionamento automático da Política do Azure para Kubernetes | Clusters K8s habilitados para Arc | Pré-visualizar | - | Sem agente | Defender para Contentores |
Distribuições e configurações do Kubernetes
| Aspeto | Detalhes |
|---|---|
| Distribuições e configurações do Kubernetes | Suportado via Arc habilitado Kubernetes12 • Serviço Kubernetes do Azure híbrido • Kubernetes • Motor AKS • Azure Red Hat OpenShift • Red Hat OpenShift (versão 4.6 ou mais recente) • VMware Tanzu Kubernetes Grid • Motor Rancher Kubernetes |
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados foram testados.
2 Para obter proteção do Microsoft Defender for Containers para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender for Containers como uma extensão Arc.
Nota
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
Sistemas operacionais de host suportados
O Defender for Containers conta com o sensor Defender para vários recursos. O sensor Defender é suportado nos seguintes sistemas operativos host:
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- SO otimizado para contêiner do Google
- Mariner 1,0
- Mariner 2,0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22,04
Verifique se o nó Kubernetes está sendo executado em um dos sistemas operacionais suportados verificados. Clusters com diferentes sistemas operacionais host, só recebem cobertura parcial.
Limitações do sensor Defender
O sensor Defender no AKS V1.28 e inferior não é suportado nos nós ARM64.
Restrições de rede
Ligação privada
O Defender for Containers conta com o sensor Defender para vários recursos. O sensor Defender não suporta a capacidade de ingerir dados através do Private Link. Você pode desabilitar o acesso público para ingestão, para que apenas máquinas configuradas para enviar tráfego por meio do Azure Monitor Private Link possam enviar dados para essa estação de trabalho. Você pode configurar um link privado navegando até your workspace>Isolamento de Rede e definindo as configurações de acesso a redes virtuais como Não.
Permitir que a ingestão de dados ocorra somente por meio do Escopo de Link Privado nas configurações de Isolamento de Rede do seu espaço de trabalho pode resultar em falhas de comunicação e convergência parcial do conjunto de recursos do Defender for Containers.
Saiba como usar o Azure Private Link para conectar redes ao Azure Monitor.
Suporte do proxy de saída
O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. O proxy de saída que espera certificados fidedignos não é suportado no momento.
Próximos passos
- Saiba como o Defender for Cloud coleta dados usando o Log Analytics Agent.
- Saiba como o Defender for Cloud gerencia e protege dados.
- Analise as plataformas que suportam o Defender for Cloud.