Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
注意
本文引用了 CentOS,这是 2024 年 6 月 30 日服务结束的 Linux 分发版。 请根据您的使用情况进行规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
重要
2026年8月18日,所有 Microsoft Defender for Cloud 功能将在 Azure 中国区域正式停用。 由于即将停用,Azure中国客户不再能够将新订阅加入该服务。 任何在 2025 年 8 月 18 日微软 Defender for Cloud 服务停用公告发布之前尚未启用的订阅都被视为新订阅。 有关弃用的详细信息,请参阅由世纪互联运营的 Microsoft Azure 中的公告《Microsoft Defender for Cloud 弃用》。 客户应与由世纪互联运营的Microsoft Azure的帐户代表合作,评估此停用对自身运营的影响。
本文汇总了Microsoft Defender for Cloud中容器功能的支持信息。
注意
- 具体功能正在预览中。 Azure预览版补充条款包括适用于 beta 版、预览版或尚未正式发布的Azure功能的其他法律条款。
- Defender for Cloud 仅支持云供应商支持的 AKS 版本。
下表列出了 Defender for Containers 为支持的云环境和容器注册表提供的功能。
容器计划可用性Microsoft Defender
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式版 (GA) 某些功能现为预览版。 有关完整列表,请参阅下表 |
| 定价: | Microsoft Defender for Containers 的计费方式如 定价页面 所示。 还可以 使用 Defender for Cloud 成本计算器估算成本。 |
| 所需角色和权限: |
若要部署所需的组件,请参阅 每个组件的权限 安全管理员可以消除警报 * 安全读取者可以查看漏洞评估结果 另请参阅 修正角色 和 Azure Container Registry 角色和权限 |
漏洞评估 (VA) 功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows发布状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| 容器注册表 VA | 容器注册表中映像的 VA | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | GA | GA | 需要 Registry 访问11或创建 Docker Hub/JFrog 的连接器 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure政府云, 由世纪互联运营的Azure |
| 运行时容器 VA - 基于注册表扫描 | 从支持的注册表运行映像的容器的 VA | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | GA | GA | 需要 Registry 访问1或用于 Docker Hub/JFrog 的连接器创建,以及K8S API 访问或Defender 传感器1 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure政府云, 由世纪互联运营的Azure |
| 运行时容器 VA | 运行映像的容器与注册表无关的 VA | 全部 | GA | - | 需要为计算机配置无代理扫描,以及 K8S API 访问权限或 Defender 传感器 1 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure政府云, 由世纪互联运营的Azure |
注册表和映像对漏洞评估的支持
| 方面 | 详细信息 |
|---|---|
| 注册表和映像 |
支持 * Docker V2 格式的容器映像 * 包含开放容器计划 (OCI) 映像格式规范的映像 不支持 * 超级简单的映像(例如 Docker 暂存映像)目前不受支持 * 公共存储库 * 清单列表 |
| 操作系统 |
支持 * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9(自 2024 年 6 月 30 日起,CentOS 已终止服务)。有关详细信息,请参阅 CentOS 终止服务指导。) * Oracle Linux 6-9 * Amazon Linux 1、2 * openSUSE Leap、openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless(基于 Debian GNU/Linux 7-12) * Ubuntu 12.04-24.04 * Fedora 31-37 * Azure Linux 1-3 * Windows服务器 2016、2019、2022 * Chainguard OS/Wolfi OS * Alma Linux 8.4 或更高版本 * Rocky Linux 8.7 或更高版本 * 最小 * Photon OS 2.0-5.0 |
| 特定于语言的包 |
支持 * Python * Node.js * PHP * Ruby * Rust * .NET * Java * 去! |
运行时保护功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows发布状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| XDR 中的高级搜寻 | 在 Microsoft XDR 中查看群集事件和警报 | AKS | 预览版 - 目前支持审核日志和进程事件 | 预览版 - 当前支持审核日志 | 需要 Defender 传感器 | 容器防护系统 | 商业云和国家云:Azure Government,Azure 由世纪互联运营 |
| 反恶意软件 | 检测恶意软件 | AKS | 预览 | 预览 | 需要通过 Helm 的 Defender 传感器 | 容器防护系统 | 商业云 |
| 二进制偏移检测 | 从容器映像检测运行时容器的二进制文件 | AKS | GA | - | 需要 Defender 传感器 | 容器防护系统 | 商业云 |
| 二元偏移阻塞 | 阻止运行时容器中的二进制偏移 | AKS | 预览 | 预览 | 需要通过 Helm 的 Defender 传感器 | 容器防护系统 | 商业云 |
| 控制平面检测 | 基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 | AKS | GA | GA | 使用计划启用 | 容器防护系统 | 商业云:Azure 国家云:Azure Government、由世纪互联运营的 Azure |
| DNS 检测 | DNS 检测功能 | AKS | 预览 | 需要通过 Helm 的 Defender 传感器 | 容器防护系统 | 商业云 | |
| 恶意软件检测 | 检测恶意软件 | AKS 节点 | GA | GA | 需要为计算机配置无代理扫描 | Defender for Containers 或 Defender for Servers 计划 2 | 商业云 |
| XDR 中的响应动作 | 在 Microsoft XDR 中提供自动和手动的修复措施 | AKS | 预览 | - | 需要 Defender 传感器 和 K8S 访问 API | 容器防护系统 | 商业云和国家云:Azure Government,Azure 由世纪互联运营 |
| 工作负荷检测 | 监视容器化工作负载是否存在威胁,并向可疑活动发出警报 | AKS | GA | - | 需要 Defender 传感器 | 容器防护系统 | 商业云和国家云:Azure Government,Azure 由世纪互联运营 |
Azure中用于保护运行时威胁的Kubernetes部署和配置
| 方面 | 详细信息 |
|---|---|
| Kubernetes 发行版和配置 |
支持 * Azure Kubernetes Service (AKS)Kubernetes RBAC 通过已启用 Arc 的 Kubernetes 支持12 * Kubernetes * AKS 引擎 |
支持任何经 Cloud Native Computing Foundation (CNCF) 认证的 Kubernetes 集群,但仅在 Azure 上测试了指定的集群。
2 若要获取适用于容器的 Microsoft Defender 保护环境,需要载入已启用 Azure Arc 的 Kubernetes 并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
安全态势管理功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows发布状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| Kubernetes 的无代理发现1 | 提供对 Kubernetes 群集及其配置和部署的零占用、基于 API 的发现。 | AKS | GA | GA | 需要 K8S API 访问权限 | Defender for Containers 或 Defender CSPM | Azure商业云 |
| 控制平面强化 1 | 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 | ACR、AKS | GA | GA | 使用计划启用 | 免费 | 商业云 国家云:Azure政府云, 由世纪互联运营的Azure |
| 工作负荷强化1 | 使用最佳做法建议保护 Kubernetes 容器的工作负荷。 | AKS | GA | - | 需要 Azure Policy | 免费 | 商业云 国家云:Azure政府云, 由世纪互联运营的Azure |
| CIS Azure Kubernetes Service | CIS Azure Kubernetes Service 服务基准 | AKS | GA | - | 被指定为安全标准 | Defender for Containers 或 Defender CSPM | 商业云 |
支持的主机操作系统
Defender for Containers 依赖于 Defender 传感器来实现多项功能。 在以下主机操作系统上,仅在 Linux 内核 5.4 及以上版本支持 Defender 传感器:
- Amazon Linux 2
- CentOS 8(CentOS 于 2024 年 6 月 30 日终止服务。有关详细信息,请参阅 CentOS 生命周期指南。
- Debian 10
- Debian 11
- Google 容器优化 OS
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
确保 Kubernetes 节点在其中一个已验证的作系统上运行。 具有不受支持的主机操作系统的群集无法获得依赖于 Defender 传感器的功能的优势。
Defender 传感器限制
AKS 版本 1.28 和早期版本中的 Defender 传感器不支持 Arm64 节点。