Defender for Cloud 中的容器支持矩阵
注意
本文引用了 CentOS,这是一个接近生命周期结束 (EOL) 状态的 Linux 发行版。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
本文总结了 Microsoft Defender for Cloud 中的容器功能的支持信息。
注意
- 具体功能正在预览中。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- 只有云供应商支持的 AKS 版本才受到 Defender for Cloud 的正式支持。
Azure
以下是 Defender for Containers 中每个域的功能:
安全态势管理
| Feature | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 启用方法 | 传感器 | Plans | Azure 云可用性 |
|---|---|---|---|---|---|---|---|---|
| Kubernetes 的无代理发现 | 提供对 Kubernetes 群集及其配置和部署的零占用空间、基于 API 的发现。 | AKS | GA | GA | 启用“Kubernetes 上的无代理发现”切换 | 无代理 | Defender for Containers 或 Defender CSPM | Azure 商业云 |
| 全面的清单功能 | 使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。 | ACR、AKS | GA | GA | 启用“Kubernetes 上的无代理发现”切换 | 无代理 | Defender for Containers 或 Defender CSPM | Azure 商业云 |
| 攻击路径分析 | 基于图的算法,用于扫描云安全图。 扫描会暴露可攻击路径,这些路径可能会被攻击者用来侵入你的环境。 | ACR、AKS | GA | - | 使用计划激活 | 无代理 | Defender CSPM(需要启用 Kubernetes 的无代理发现) | Azure 商业云 |
| 增强的风险搜寻 | 使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。 | ACR、AKS | GA | - | 启用“Kubernetes 上的无代理发现”切换 | 无代理 | Defender for Containers 或 Defender CSPM | Azure 商业云 |
| 控制平面强化 | 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 | ACR、AKS | GA | 预览 | 使用计划激活 | 无代理 | 免费 | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
| Kubernetes 数据平面强化 | 使用最佳做法建议保护 Kubernetes 容器的工作负载。 | AKS | GA | - | 启用“用于 Kubernetes 的 Azure Policy”切换 | Azure Policy | 免费 | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
| Docker CIS | Docker CIS 基准 | VM、虚拟机规模集 | GA | - | 使用计划启用 | Log Analytics 代理 | Defender for Servers 计划 2 | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
漏洞评估
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 启用方法 | 传感器 | Plans | Azure 云可用性 |
|---|---|---|---|---|---|---|---|---|
| 无代理注册表扫描(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 | ACR 中映像的漏洞评估 | ACR、专用 ACR | GA | 预览 | 启用“无代理容器漏洞评估”切换 | 无代理 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
| 无代理/基于代理的运行时(由 Microsoft Defender Vulnerability Management 提供支持)支持的包 | AKS 中运行映像的漏洞评估 | AKS | GA | 预览 | 启用“无代理容器漏洞评估”切换 | 无代理(需要 Kubernetes 的无代理发现)或/与 Defender 传感器 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
运行时威胁防护
| Feature | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 启用方法 | 传感器 | Plans | Azure 云可用性 |
|---|---|---|---|---|---|---|---|---|
| 控制面板 | 基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 | AKS | GA | GA | 使用计划启用 | 无代理 | Defender for Containers | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
| 工作负载 | 针对群集级别、节点级别和工作负载级别的 Kubernetes 检测可疑活动 | AKS | GA | - | 启用“Azure 中的 Defender 传感器”切换或在单个群集上部署 Defender 传感器 | Defender 传感器 | Defender for Containers | 商业云 国家云:Azure 政府、Azure 中国世纪互联 |
部署和监视
| Feature | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 启用方法 | 传感器 | Plans | Azure 云可用性 |
|---|---|---|---|---|---|---|---|---|
| 发现未受保护的群集 | 发现缺少 Defender 传感器的 Kubernetes 群集 | AKS | GA | GA | 使用计划启用 | 无代理 | 免费 | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
| Defender 传感器自动预配 | Defender 传感器的自动部署 | AKS | GA | - | 启用“Azure 中的 Defender 传感器”切换 | 无代理 | Defender for Containers | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
| 适用于 Kubernetes 的 Azure Policy 自动预配 | 适用于 Kubernetes 的 Azure Policy 传感器自动部署 | AKS | GA | - | 启用“适用于 Kubernetes 的 Azure Policy”切换 | 无代理 | 免费 | 商业云 国家云:Azure 政府,由世纪互联运营的 Azure |
Azure 的注册表和映像支持 - 由 Microsoft Defender Vulnerability Management 提供支持的漏洞评估
| 方面 | 详细信息 |
|---|---|
| 注册表和映像 | 支持 • ACR 注册表 • 受 Azure 专用链接保护的 ACR 注册表(专用注册表要求访问受信任的服务) • Docker V2 格式的容器映像 • 包含开放容器计划 (OCI) 映像格式规范的映像 不支持 • 超级简单的映像,例如 Docker 暂存映像 当前不受支持 |
| 操作系统 | 支持 • Alpine Linux 3.12-3.16 • Red Hat Enterprise Linux 6-9 • CentOS 6-9 • Oracle Linux 6-9 • Amazon Linux 1、2 • openSUSE Leap、openSUSE Tumbleweed • SUSE Enterprise Linux 11-15 • Debian GNU/Linux 7-12 • Google Distroless(基于 Debian GNU/Linux 7-12) • Ubuntu 12.04-22.04 • Fedora 31-37 • Mariner 1-2 • Windows Server 2016、2019、2022 |
| 特定于语言的包 |
支持 • Python • Node.js • .NET • JAVA • Go |
适用于 Azure 的 Kubernetes 分发和配置 - 运行时威胁防护
| 方面 | 详细信息 |
|---|---|
| Kubernetes 发行版和配置 | 支持 • Azure Kubernetes 服务 (AKS) 与 Kubernetes RBAC 通过已启用 Arc 的 Kubernetes 支持12 • Kubernetes • AKS 引擎 |
1 应支持任何经云原生计算基金会 (CNCF) 认证的 Kubernetes 群集,但仅在 Azure 上测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kubernetes 工作负载保护的其他要求,请参阅现有限制。
专用链接限制
Defender for Containers 依赖于 Defender 传感器来实现多项功能。 Defender 传感器不支持通过专用链接引入数据的功能。 可以禁用用于引入的公共访问,使得只有配置为通过 Azure Monitor 专用链接发送流量的计算机才能将数据发送到该工作站。 可以通过导航到 your workspace>“网络隔离”并将“虚拟网络访问配置”设置为“否”来配置专用链接。
仅允许通过工作区网络隔离设置上的专用链接范围进行数据引入,可能会导致通信失败和 Defender for Containers 功能集的部分收敛。
了解如何使用 Azure 专用链接将网络连接到 Azure Monitor。
本地已启用 Arc 的 Kubernetes 群集
| 域 | 功能 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 无代理/基于传感器 | 定价层 |
|---|---|---|---|---|---|---|
| 安全态势管理 | Docker CIS | 已启用 Arc 的 VM | 预览 | - | Log Analytics 代理 | Defender for Servers 计划 2 |
| 安全态势管理 | 控制平面强化 | - | - | - | - | - |
| 安全态势管理 | Kubernetes 数据平面强化 | 已启用 Arc 的 K8s 群集 | GA | - | 适用于 Kubernetes 的 Azure Policy | Defender for Containers |
| 运行时保护 | 威胁防护(控制平面) | 已启用 Arc 的 K8s 群集 | 预览 | 预览 | Defender 传感器 | Defender for Containers |
| 运行时保护 | 威胁防护(工作负荷) | 已启用 Arc 的 K8s 群集 | 预览 | - | Defender 传感器 | Defender for Containers |
| 部署和监视 | 发现未受保护的群集 | 已启用 Arc 的 K8s 群集 | 预览 | - | 无代理 | 免费 |
| 部署和监视 | 自动预配 Defender 传感器 | 已启用 Arc 的 K8s 群集 | 预览 | 预览 | 无代理 | Defender for Containers |
| 部署和监视 | 为 Kubernetes 自动预配 Azure Policy | 已启用 Arc 的 K8s 群集 | 预览 | - | 无代理 | Defender for Containers |
Kubernetes 发行版和配置
| 方面 | 详细信息 |
|---|---|
| Kubernetes 发行版和配置 | 通过已启用 Arc 的 Kubernetes 支持12 • Kubernetes • AKS 引擎 • VMware Tanzu Kubernetes 网格 • Rancher Kubernetes 引擎 |
1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kubernetes 工作负载保护的其他要求,请参阅现有限制。
支持的主机操作系统
Defender for Containers 依赖于 Defender 传感器来实现多项功能。 以下主机操作系统支持 Defender 传感器:
- Amazon Linux 2
- CentOS 8
- Debian 10
- Debian 11
- Google 容器优化 OS
- Mariner 1.0
- Mariner 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
确保 Kubernetes 节点在经过验证的受支持操作系统之一上运行。 具有不同主机操作系统的群集只能获得部分覆盖。
Defender 传感器限制
ARM64 节点上不支持 AKS V1.28 及更低版本中的 Defender 传感器。
网络限制
专用链接
Defender for Containers 依赖于 Defender 传感器来实现多项功能。 Defender 传感器不支持通过专用链接引入数据的功能。 可以禁用用于引入的公共访问,使得只有配置为通过 Azure Monitor 专用链接发送流量的计算机才能将数据发送到该工作站。 可以通过导航到 your workspace>“网络隔离”并将“虚拟网络访问配置”设置为“否”来配置专用链接。
仅允许通过工作区网络隔离设置上的专用链接范围进行数据引入,可能会导致通信失败和 Defender for Containers 功能集的部分收敛。
了解如何使用 Azure 专用链接将网络连接到 Azure Monitor。
出站代理支持
支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。