注意
本文引用了 CentOS,这是 2024 年 6 月 30 日服务结束的 Linux 分发版。 请根据您的使用情况进行规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
重要
所有 Microsoft Defender for Cloud 功能将于 2026 年 8 月 18 日正式停用在中国 Azure 区域。 由于即将停用,Azure 在中国的客户将无法再将新订阅加入该服务。 2025年8月18日(即公布停用日期)之前未被接入Microsoft Defender for Cloud服务的任何订阅均为新订阅。 如需了解有关淘汰的更多信息,请参阅 Microsoft Azure 由世纪互联运营的 Microsoft Defender for Cloud 停用公告。 客户应与世纪互联运营的 Microsoft Azure 的客户经理合作,评估此次停用对自身运营的影响。
本文汇总了 Microsoft Defender for Cloud 中容器功能的支持信息。
注意
- 具体功能正在预览中。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- Defender for Cloud 仅支持云供应商支持的 AKS 版本。
下表列出了 Defender for Containers 为支持的云环境和容器注册表提供的功能。
Microsoft Defender for Containers 计划可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式版 (GA) 某些功能现为预览版。 有关完整列表,请参阅下表 |
| 定价: | Microsoft Defender for Containers 按 定价页上所示计费。 还可以 使用 Defender for Cloud 成本计算器估算成本。 |
| 所需角色和权限: |
若要部署所需的组件,请参阅 每个组件的权限 安全管理员可以消除警报 * 安全读取者可以查看漏洞评估结果 另请参阅补救角色和Azure 容器注册表角色和权限 |
漏洞评估 (VA) 功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| 容器注册表 VA | 容器注册表中映像的 VA | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | GA | GA | 需要注册表访问1或为 Docker Hub/JFrog 创建连接器。 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure 政府,Azure 由世纪互联运营 |
| 运行时容器 VA - 基于注册表扫描 | 从支持的注册表运行映像的容器的 VA | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | GA | GA | 需要注册表访问1或为 Docker Hub/JFrog 创建连接器,并且需要K8S API 访问或Defender 传感器1 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure 政府,Azure 由世纪互联运营 |
| 运行时容器 VA | 运行映像的容器与注册表无关的 VA | 全部 | 预览 | - | 需要为计算机配置无代理扫描,以及 K8S API 访问权限或 Defender 传感器 1 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure 政府,Azure 由世纪互联运营 |
注册表和映像对漏洞评估的支持
| 方面 | 详细信息 |
|---|---|
| 注册表和映像 |
支持 * Docker V2 格式的容器映像 * 包含开放容器计划 (OCI) 映像格式规范的映像 不支持 * 超级简单的映像(例如 Docker 暂存映像)目前不受支持 * 公共存储库 * 清单列表 |
| 操作系统 |
支持 * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9(自 2024 年 6 月 30 日起,CentOS 已终止服务)。有关详细信息,请参阅 CentOS 终止服务指导。) * Oracle Linux 6-9 * Amazon Linux 1、2 * openSUSE Leap、openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless(基于 Debian GNU/Linux 7-12) * Ubuntu 12.04-24.04 * Fedora 31-37 * Azure Linux 1-3 * Windows Server 2016、2019、2022 * Chainguard OS/Wolfi OS * Alma Linux 8.4 或更高版本 * Rocky Linux 8.7 或更高版本 |
| 特定于语言的包 |
支持 * Python * Node.js * PHP * Ruby * Rust * .NET *爪哇岛 * 去! |
运行时保护功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| 控制平面检测 | 基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 | AKS | GA | GA | 使用计划启用 | 容器防护系统 | 商业云/国家云:Azure 政府云、由世纪互联运营的 Azure |
| 工作负荷检测 | 监视容器化工作负载是否存在威胁,并向可疑活动发出警报 | AKS | GA | - | 需要 Defender 传感器 | 容器防护系统 | 商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| 二进制偏移检测 | 从容器映像检测运行时容器的二进制文件 | AKS | GA | - | 需要 Defender 传感器 | 容器防护系统 | 商业云 |
| XDR 中的高级搜寻 | 在 Microsoft XDR 中查看群集事件和警报 | AKS | 预览版 - 目前支持审核日志和进程事件 | 预览版 - 当前支持审核日志 | 需要 Defender 传感器 | 容器防护系统 | 商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| XDR 中的响应动作 | 在 Microsoft XDR 中提供自动和手动的修复措施 | AKS | 预览 | - | 需要 Defender 传感器 和 K8S 访问 API | 容器防护系统 | 商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| 恶意软件检测 | 检测恶意软件 | AKS 节点 | GA | GA | 需要为计算机配置无代理扫描 | 容器防护系统 | 商业云 |
Azure 中用于运行时威胁防护的 Kubernetes 发行版及配置
| 方面 | 详细信息 |
|---|---|
| Kubernetes 发行版和配置 |
支持 * 使用 Kubernetes RBAC 的 Azure Kubernetes 服务 (AKS) 通过已启用 Arc 的 Kubernetes 支持12 * Kubernetes * AKS 引擎 |
应 支持任何经 Cloud Native Computing Foundation (CNCF) 认证的 Kubernetes 群集,但仅在 Azure 上测试指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
安全态势管理功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| Kubernetes 的无代理发现1 | 提供对 Kubernetes 群集及其配置和部署的零占用、基于 API 的发现。 | AKS | GA | GA | 需要 K8S API 访问权限 | Defender for Containers 或 Defender CSPM | Azure 商业云 |
| 控制平面强化 1 | 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 | ACR、AKS | GA | GA | 使用计划启用 | 免费 | 商业云 国家云:Azure 政府,Azure 由世纪互联运营 |
| 工作负荷强化1 | 使用最佳做法建议保护 Kubernetes 容器的工作负荷。 | AKS | GA | - | 需要 Azure Policy | 免费 | 商业云 国家云:Azure 政府,Azure 由世纪互联运营 |
| CIS Azure Kubernetes 服务 | CIS Azure Kubernetes 服务基准 | AKS | GA | - | 被指定为安全标准 | Defender for Containers 或 Defender CSPM | 商业云 |
支持的主机操作系统
Defender for Containers 依赖于 Defender 传感器来实现多项功能。 在以下主机操作系统上,仅在 Linux 内核 5.4 及以上版本支持 Defender 传感器:
- Amazon Linux 2
- CentOS 8(CentOS 于 2024 年 6 月 30 日终止服务。有关详细信息,请参阅 CentOS 生命周期指南。
- Debian 10
- Debian 11
- Google 容器优化 OS
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
确保 Kubernetes 节点在其中一个已验证的作系统上运行。 具有不受支持的主机操作系统的群集无法获得依赖于 Defender 传感器的功能的优势。
Defender 传感器限制
AKS 版本 1.28 和早期版本中的 Defender 传感器不支持 Arm64 节点。