Матрица поддержки контейнеров в Defender для облака
Внимание
Эта статья ссылается на CentOS, дистрибутив Linux, который приближается к состоянию конца жизни (EOL). Пожалуйста, рассмотрите возможность использования и планирования соответствующим образом. Дополнительные сведения см. в руководстве centOS End Of Life.
В этой статье приведены сведения о поддержке возможностей контейнеров в Microsoft Defender для облака.
Примечание.
- Конкретные функции доступны в предварительной версии. Дополнительные условия использования предварительной версии Azure включают прочие юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не являются общедоступными по другим причинам.
- Только версии AKS, EKS и GKE, поддерживаемые поставщиком облачных служб, официально поддерживаются Defender для облака.
Внимание
Оценка уязвимостей контейнеров Defender для облака на платформе Qualys отменяется. Выход на пенсию будет завершен к 6 марта, и до тех пор, пока это время частичные результаты по-прежнему могут отображаться как в рекомендациях Qualys, так и Qualys приводит к графу безопасности. Все клиенты, которые ранее использовали эту оценку, должны обновиться до оценки уязвимостей для Azure с Управление уязвимостями Microsoft Defender. Сведения о переходе к оценке уязвимостей контейнера, предоставляемой Управление уязвимостями Microsoft Defender, см. в статье "Переход от Qualys к Управление уязвимостями Microsoft Defender".
Azure
Ниже приведены функции для каждого из доменов в Defender для контейнеров:
Управление состоянием безопасности
| Возможность | Description | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | Метод Enablement | Sensor | Планы | Доступность облаков Azure |
|---|---|---|---|---|---|---|---|---|
| Обнаружение без агента для Kubernetes | Обеспечивает нулевое пространство, обнаружение кластеров Kubernetes на основе API, их конфигурации и развертывания. | AKS | Общедоступная версия | Общедоступная версия | Включение обнаружения без агента в kubernetes переключатель | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender | Коммерческие облака Azure |
| Комплексные возможности инвентаризации | Позволяет просматривать ресурсы, модули pod, службы, репозитории, образы и конфигурации с помощью обозревателя безопасности, чтобы легко отслеживать ресурсы и управлять ими. | ACR, AKS | Общедоступная версия | Общедоступная версия | Включение обнаружения без агента в kubernetes переключатель | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender | Коммерческие облака Azure |
| Анализ пути атаки | Алгоритм на основе графа, который сканирует граф облачной безопасности. Сканирование предоставляет пути, доступные для эксплойтов, которые злоумышленники могут использовать для нарушения среды. | ACR, AKS | Общедоступная версия | Общедоступная версия | Активировано с помощью плана | Безагентное | CSPM Defender (требуется, чтобы обнаружение без агента для Kubernetes было включено) | Коммерческие облака Azure |
| Улучшенная охота на риск | Позволяет администраторам безопасности активно искать проблемы с состоянием в контейнерных ресурсах с помощью запросов (встроенных и настраиваемых) и аналитических сведений о безопасности в обозревателе безопасности. | ACR, AKS | Общедоступная версия | Общедоступная версия | Включение обнаружения без агента в kubernetes переключатель | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender | Коммерческие облака Azure |
| Усиление уровня управления | Непрерывно оценивает конфигурации кластеров и сравнивает их с инициативами, применяемыми к подпискам. При обнаружении неправильных настроек Defender для облака создает рекомендации по безопасности, доступные на странице рекомендаций Defender для облака. Рекомендации позволяют исследовать и устранять проблемы. | ACR, AKS | Общедоступная версия | Предварительный просмотр | Активировано с помощью плана | Безагентное | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Защита плоскости данных Kubernetes | Защита рабочих нагрузок контейнеров Kubernetes с рекомендациями. | AKS | Общедоступная версия | - | Включение переключателя Политика Azure для Kubernetes | Политика Azure | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Docker CIS | Тест Docker CIS | Виртуальная машина, масштабируемый набор виртуальных машин | Общедоступная версия | - | Включено с планом | Агент Log Analytics | План Defender для серверов 2 | Коммерческие облака Национальные облака: Azure для государственных организаций, Microsoft Azure под управлением 21Vianet |
Оценка уязвимостей
Защита от угроз среды выполнения
| Возможность | Description | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | Метод Enablement | Sensor | Планы | Доступность облаков Azure |
|---|---|---|---|---|---|---|---|---|
| Плоскость управления | Обнаружение подозрительной активности для Kubernetes на основе аудита Kubernetes | AKS | Общедоступная версия | Общедоступная версия | Включено с планом | Безагентное | Defender для контейнеров | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Рабочая нагрузка | Обнаружение подозрительных действий для Kubernetes для уровня кластера, уровня узла и уровня рабочей нагрузки | AKS | Общедоступная версия | - | Включение датчика Defender в Azure для переключения или развертывания датчиков Defender в отдельных кластерах | Датчик Defender | Defender для контейнеров | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure для Китая (21Vianet) |
Развертывание и мониторинг
| Возможность | Description | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | Метод Enablement | Sensor | Планы | Доступность облаков Azure |
|---|---|---|---|---|---|---|---|---|
| Обнаружение незащищенных кластеров | Обнаружение кластеров Kubernetes, отсутствующих датчиков Defender | AKS | Общедоступная версия | Общедоступная версия | Включено с планом | Безагентное | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Автоматическая подготовка датчика Defender | Автоматическое развертывание датчика Defender | AKS | Общедоступная версия | - | Включение датчика Defender в Azure | Безагентное | Defender для контейнеров | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
| Политика Azure для автоматической подготовки Kubernetes | Автоматическое развертывание датчика политики Azure для Kubernetes | AKS | Общедоступная версия | - | Включение переключателя политики Azure для Kubernetes | Безагентное | Бесплатно | Коммерческие облака Национальные облака: Azure для государственных организаций, Azure под управлением 21Vianet |
Поддержка реестров и образов для Azure — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
| Аспект | Сведения |
|---|---|
| Реестры и образы | Поддерживается • Реестры ACR • Реестры ACR, защищенные Приватный канал Azure (для частных реестров требуется доступ к доверенным службам) • Образы контейнеров в формате Docker версии 2 • Изображения с спецификацией формата изображения Open Container Initiative (OCI) Не поддерживается • Очень маленькие образы, такие как временные образы Docker в настоящее время не поддерживается |
| Операционные системы | Поддерживается • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (на основе Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Маринр 1-2 • Windows Server 2016, 2019, 2022 |
| Языковые пакеты |
Поддерживается •Python •Node.js •.ЧИСТАЯ •JAVA • Go |
Дистрибутивы и конфигурации Kubernetes для Azure — защита от угроз среды выполнения
| Аспект | Сведения |
|---|---|
| Распределения и конфигурации Kubernetes | Поддерживается • Служба Azure Kubernetes (AKS) с RBAC Kubernetes Работают через Kubernetes с поддержкой Arc12 • гибридный Служба Azure Kubernetes • Kubernetes • Обработчик AKS • Azure Red Hat OpenShift |
1 Все сертифицированные кластеры Kubernetes Cloud Native Computing Foundation (CNCF) должны поддерживаться, но в Azure тестируются только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
Ограничения приватного канала
Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender не поддерживает возможность приема данных через Приватный канал. Вы можете отключить общедоступный доступ для приема, чтобы только компьютеры, настроенные для отправки трафика через Azure Monitor Приватный канал могли отправлять данные на эту рабочую станцию. Вы можете настроить приватный канал, перейдя к your workspace>сетевой изоляции и установив конфигурации доступа виртуальных сетей к no.
Если в параметрах сетевой изоляции для рабочей области вы разрешите прием данных только через Приватный канал, могут возникать сбои связи и неполная конвергенция набора функций Defender для контейнеров.
См. статью Подключение сетей к Azure Monitor с помощью Приватного канала Azure.
AWS
| Домен | Функция | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | На основе агента без агента или датчика | Ценовая категория |
|---|---|---|---|---|---|---|
| Управление состоянием безопасности | Обнаружение без агента для Kubernetes | EKS | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
| Управление состоянием безопасности | Комплексные возможности инвентаризации | ECR, EKS | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
| Управление состоянием безопасности | Анализ пути атаки | ECR, EKS | Общедоступная версия | Общедоступная версия | Безагентное | Defender CSPM |
| Управление состоянием безопасности | Улучшенная охота на риск | ECR, EKS | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
| Управление состоянием безопасности | Docker CIS | EC2 | Общедоступная версия | - | Агент Log Analytics | План Defender для серверов 2 |
| Управление состоянием безопасности | Усиление уровня управления | - | - | - | - | - |
| Управление состоянием безопасности | Усиление защиты для плоскости данных Kubernetes | EKS | Общедоступная версия | - | Политика Azure для Kubernetes | Defender для контейнеров |
| Оценка уязвимостей | Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) | ECR | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров или CSPM Defender |
| Оценка уязвимостей | Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) | EKS | Общедоступная версия | Общедоступная версия | Датчик без агента ИЛИ/AND Defender | Defender для контейнеров или CSPM Defender |
| защиты среды выполнения; | Уровень управления | EKS | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
| защиты среды выполнения; | Рабочая нагрузка | EKS | Общедоступная версия | - | Датчик Defender | Defender для контейнеров |
| Развертывание и мониторинг | Обнаружение незащищенных кластеров | EKS | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
| Развертывание и мониторинг | Автоматическая подготовка датчика Defender | EKS | Общедоступная версия | - | - | - |
| Развертывание и мониторинг | Автоматическая подготовка Политика Azure для Kubernetes | EKS | Общедоступная версия | - | - | - |
Поддержка реестров и образов для AWS — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
| Аспект | Сведения |
|---|---|
| Реестры и образы | Поддерживается • Реестры ECR • Образы контейнеров в формате Docker версии 2 • Изображения с спецификацией формата изображения Open Container Initiative (OCI) Не поддерживается • Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые • Общедоступные репозитории • Списки манифестов |
| Операционные системы | Поддерживается • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (на основе Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Маринр 1-2 • Windows Server 2016, 2019, 2022 |
| Языковые пакеты |
Поддерживается •Python •Node.js •.ЧИСТАЯ •JAVA • Go |
Поддержка дистрибутивов и конфигураций Kubernetes для AWS — защита от угроз среды выполнения
| Аспект | Сведения |
|---|---|
| Распределения и конфигурации Kubernetes | Поддерживается • Amazon Elastic Kubernetes Service (EKS) Работают через Kubernetes с поддержкой Arc12 • Kubernetes Не поддерживается • Частные кластеры EKS |
1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
Поддержка исходящего прокси-сервера — AWS
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
GCP
| Домен | Функция | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | На основе агента без агента или датчика | Ценовая категория |
|---|---|---|---|---|---|---|
| Управление состоянием безопасности | Обнаружение без агента для Kubernetes | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
| Управление состоянием безопасности | Комплексные возможности инвентаризации | GAR, GCR, GKE | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
| Управление состоянием безопасности | Анализ пути атаки | GAR, GCR, GKE | Общедоступная версия | Общедоступная версия | Безагентное | Defender CSPM |
| Управление состоянием безопасности | Улучшенная охота на риск | GAR, GCR, GKE | Общедоступная версия | Общедоступная версия | Безагентное | Защитник для контейнеров ИЛИ CSPM Defender |
| Управление состоянием безопасности | Docker CIS | Виртуальные машины GCP | Общедоступная версия | - | Агент Log Analytics | План Defender для серверов 2 |
| Управление состоянием безопасности | Усиление уровня управления | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Бесплатно |
| Управление состоянием безопасности | Усиление защиты для плоскости данных Kubernetes | GKE | Общедоступная версия | - | Политика Azure для Kubernetes | Defender для контейнеров |
| Оценка уязвимостей | Поддерживаемые пакеты проверки без агента (на Управление уязвимостями Microsoft Defender) | GAR, GCR | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров или CSPM Defender |
| Оценка уязвимостей | Поддерживаемые пакеты среды выполнения на основе агента или датчика (на основе Управление уязвимостями Microsoft Defender) | GKE | Общедоступная версия | Общедоступная версия | Датчик без агента ИЛИ/AND Defender | Defender для контейнеров или CSPM Defender |
| защиты среды выполнения; | Уровень управления | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
| защиты среды выполнения; | Рабочая нагрузка | GKE | Общедоступная версия | - | Датчик Defender | Defender для контейнеров |
| Развертывание и мониторинг | Обнаружение незащищенных кластеров | GKE | Общедоступная версия | Общедоступная версия | Безагентное | Defender для контейнеров |
| Развертывание и мониторинг | Автоматическая подготовка датчика Defender | GKE | Общедоступная версия | - | Безагентное | Defender для контейнеров |
| Развертывание и мониторинг | Автоматическая подготовка Политика Azure для Kubernetes | GKE | Общедоступная версия | - | Безагентное | Defender для контейнеров |
Поддержка реестров и образов для GCP — оценка уязвимостей на основе Управление уязвимостями Microsoft Defender
| Аспект | Сведения |
|---|---|
| Реестры и образы | Поддерживается • Реестры Google (GAR, GCR) • Образы контейнеров в формате Docker версии 2 • Изображения с спецификацией формата изображения Open Container Initiative (OCI) Не поддерживается • Супер-минималистские изображения, такие как образы с нуля Docker в настоящее время неподдерживаемые • Общедоступные репозитории • Списки манифестов |
| Операционные системы | Поддерживается • Alpine Linux 3.12-3.19 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1, 2 • openSUSE Leap, openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless (на основе Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Маринр 1-2 • Windows Server 2016, 2019, 2022 |
| Языковые пакеты |
Поддерживается •Python •Node.js •.ЧИСТАЯ •JAVA • Go |
Поддержка дистрибутивов и конфигураций Kubernetes для GCP — защита от угроз среды выполнения
| Аспект | Сведения |
|---|---|
| Распределения и конфигурации Kubernetes | Поддерживается • Google Kubernetes Engine (GKE) Standard Работают через Kubernetes с поддержкой Arc12 • Kubernetes Не поддерживается • Кластеры частной сети • GKE autopilot • GKE AuthorizedNetworksConfig |
1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
Поддержка исходящего прокси-сервера — GCP
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
Локальные кластеры Kubernetes с поддержкой Arc
| Домен | Функция | Поддерживаемые ресурсы | Состояние выпуска Linux | Состояние выпуска Windows | На основе агента без агента или датчика | Ценовая категория |
|---|---|---|---|---|---|---|
| Управление состоянием безопасности | Docker CIS | Виртуальные машины с поддержкой Arc | Предварительный просмотр | - | Агент Log Analytics | План Defender для серверов 2 |
| Управление состоянием безопасности | Усиление уровня управления | - | - | - | - | - |
| Управление состоянием безопасности | Усиление защиты для плоскости данных Kubernetes | Кластеры K8s с поддержкой Arc | Общедоступная версия | - | Политика Azure для Kubernetes | Defender для контейнеров |
| защиты среды выполнения; | Защита от угроз (уровень управления) | Кластеры K8s с поддержкой Arc | "Предварительная версия" | "Предварительная версия" | Датчик Defender | Defender для контейнеров |
| защиты среды выполнения; | Защита от угроз (рабочая нагрузка) | Кластеры K8s с поддержкой Arc | Предварительный просмотр | - | Датчик Defender | Defender для контейнеров |
| Развертывание и мониторинг | Обнаружение незащищенных кластеров | Кластеры K8s с поддержкой Arc | Предварительный просмотр | - | Безагентное | Бесплатно |
| Развертывание и мониторинг | Автоматическая подготовка датчика Defender | Кластеры K8s с поддержкой Arc | "Предварительная версия" | "Предварительная версия" | Безагентное | Defender для контейнеров |
| Развертывание и мониторинг | Автоматическая подготовка Политика Azure для Kubernetes | Кластеры K8s с поддержкой Arc | Предварительный просмотр | - | Безагентное | Defender для контейнеров |
Распределения и конфигурации Kubernetes
| Аспект | Сведения |
|---|---|
| Распределения и конфигурации Kubernetes | Работают через Kubernetes с поддержкой Arc12 • гибридный Служба Azure Kubernetes • Kubernetes • Обработчик AKS • Azure Red Hat OpenShift • Red Hat OpenShift версии 4.6 или более новой • VMware Tanzu Kubernetes Grid • Rancher Kubernetes Engine |
1Должны поддерживаться все кластеры Kubernetes, сертифицированные для Cloud Native Computing Foundation, но тестировались только указанные кластеры.
2 . Чтобы получить защиту Microsoft Defender для контейнеров для ваших сред, необходимо подключить Kubernetes с поддержкой Azure Arc и включить Defender для контейнеров в качестве расширения Arc.
Примечание.
Дополнительные требования к защите рабочих нагрузок Kubernetes см . в существующих ограничениях.
Поддерживаемые операционные системы сервера виртуальных машин
Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender поддерживается в следующих операционных системах узла:
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- ОС Google, оптимизированная для контейнеров
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Убедитесь, что узел Kubernetes работает под управлением одной из проверенных и поддерживаемых операционных систем. Кластеры с разными операционными системами узлов получают только частичное покрытие.
Ограничения датчика Defender
Датчик Defender в AKS версии 1.28 и ниже не поддерживается на узлах ARM64.
Сетевые ограничения
Приватный канал
Defender для контейнеров использует датчик Defender для нескольких функций. Датчик Defender не поддерживает возможность приема данных через Приватный канал. Вы можете отключить общедоступный доступ для приема, чтобы только компьютеры, настроенные для отправки трафика через Azure Monitor Приватный канал могли отправлять данные на эту рабочую станцию. Вы можете настроить приватный канал, перейдя к your workspace>сетевой изоляции и установив конфигурации доступа виртуальных сетей к no.
Если в параметрах сетевой изоляции для рабочей области вы разрешите прием данных только через Приватный канал, могут возникать сбои связи и неполная конвергенция набора функций Defender для контейнеров.
См. статью Подключение сетей к Azure Monitor с помощью Приватного канала Azure.
Поддержка прокси-сервера для исходящих подключений
Поддерживается исходящий прокси-сервер без аутентификации и исходящий прокси с обычной проверкой подлинности. Исходящий прокси-сервер, для которого требуются доверенные сертификаты, сейчас не поддерживается.
Следующие шаги
- Узнайте, как Defender для облака собирает данные с помощью агента Log Analytics.
- Узнайте, как Defender для облака администрирует и защищает данные.
- Ознакомьтесь с платформами, которые поддерживают Defender для облака.