注意
本文引用了 CentOS,这是 2024 年 6 月 30 日服务结束的 Linux 分发版。 请根据您的使用情况进行规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
重要
Microsoft Defender for Cloud 的所有功能将于 2026年8月18日 在中国地区的 Azure 正式停用。 由于即将停用,Azure中国客户不再能够将新订阅加入该服务。 新的订阅是指截至 2025 年 8 月 18 日退役公告发布之前,尚未加入 Microsoft Defender for Cloud 服务的任何订阅。 有关有关弃用的详细信息,请参阅 Microsoft Azure(由世纪互联运营)中的公告Microsoft Defender for Cloud 弃用。 客户应与由世纪互联运营的Microsoft Azure的帐户代表合作,评估此停用对自身运营的影响。
本文汇总了Microsoft Defender for Cloud中容器功能的支持信息。
注意
- 具体功能正在预览中。 Azure预览版补充条款包括适用于 beta 版、预览版或尚未正式发布的Azure功能的其他法律条款。
- Defender for Cloud仅支持云供应商支持的 AKS 版本。
下表列出了Defender for Containers为受支持的云环境和容器注册表提供的功能。
Microsoft Defender 容器计划的可用性
| 方面 | 详细信息 |
|---|---|
| 发布状态: | 正式版 (GA) 某些功能现为预览版。 有关完整列表,请参阅下表 |
| 定价: | Microsoft Defender for Containers 的收费如 定价页面 所示。 还可以使用Defender for Cloud成本计算器估算成本。 |
| 所需角色和权限: |
若要部署所需的组件,请参阅 每个组件的权限 安全管理员可以消除警报 * 安全读取者可以查看漏洞评估结果 另请参阅 补救中的角色 和 Azure 容器注册表中的角色和权限 |
漏洞评估 (VA) 功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows发布状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| 容器注册表 VA | 容器注册表中映像的 VA | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | GA | GA | 需要 注册表访问1 或创建连接器以用于 Docker Hub/JFrog | 用于容器的 Defender 或 Defender CSPM | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 运行时容器 VA - 基于注册表扫描 | 从支持的注册表运行映像的容器的 VA | ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory | GA | GA | 需要 Registry 访问1 或用于 Docker Hub/JFrog 的连接器创建,并且需要 K8S API 访问 或 Defender 传感器1。 | 用于容器的 Defender 或 Defender CSPM | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 运行时容器 VA | 运行映像的容器与注册表无关的 VA | 全部 | GA | - | 需要对计算机进行无代理扫描,以及 K8S API 访问或 Defender 传感器1 | 用于容器的 Defender 或 Defender CSPM | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
注册表和映像对漏洞评估的支持
| 方面 | 详细信息 |
|---|---|
| 注册表和映像 |
支持 * Docker V2 格式的容器映像 * 包含开放容器计划 (OCI) 映像格式规范的映像 不支持 * 超级简单的映像(例如 Docker 暂存映像)目前不受支持 * 公共存储库 * 清单列表 |
| 操作系统 |
支持 * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9(自 2024 年 6 月 30 日起,CentOS 已终止服务)。有关详细信息,请参阅 CentOS 终止服务指导。) * Oracle Linux 6-9 * Amazon Linux 1、2 * openSUSE Leap、openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless(基于 Debian GNU/Linux 7-12) * Ubuntu 12.04-24.04 * Fedora 31-37 * Azure Linux 1-3 * Windows服务器 2016、2019、2022 * Chainguard OS/Wolfi OS * Alma Linux 8.4 或更高版本 * Rocky Linux 8.7 或更高版本 * 最小 * Photon OS 2.0-5.0 |
| 特定于语言的包 |
支持 * Python * Node.js * PHP * Ruby * Rust * .NET *爪哇岛 * 去! |
运行时保护功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows发布状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| XDR 中的高级搜寻 | 在 Microsoft XDR 中查看群集事件和警报 | AKS | 预览版 - 目前支持审核日志和进程事件 | 预览版 - 当前支持审核日志 | 需要 Defender 传感器 | 用于容器的 Defender | 商业云和国家云:Azure 政府云,Azure 由世纪互联运营 |
| 反恶意软件 | 检测恶意软件 | AKS | 预览 | 预览 | 需要通过 Helm Defender 传感器 | 用于容器的 Defender | 商业云 |
| 二进制偏移检测 | 从容器映像检测运行时容器的二进制文件 | AKS | GA | - | 需要 Defender 传感器 | 用于容器的 Defender | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 二元偏移阻塞 | 阻止运行时容器中的二进制偏移 | AKS | 预览 | 预览 | 需要通过 Helm Defender 传感器 | 用于容器的 Defender | 商业云 |
| 控制平面检测 | 基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 | AKS | GA | GA | 使用计划启用 | 用于容器的 Defender | 商业云:由世纪互联运营的Azure;国家云:Azure Government |
| DNS 检测 | DNS 检测功能 | AKS | 预览 | 需要通过 Helm Defender 传感器 | 用于容器的 Defender | 商业云 | |
| 恶意软件检测 | 检测恶意软件 | AKS 节点 | GA | GA | 需要为计算机配置无代理扫描 | 容器防护 或 服务器防护计划 2 | 商业云 |
| XDR 中的响应动作 | 在 Microsoft XDR 中提供自动化和手动补救措施 | AKS | 预览 | - | 需要 Defender 传感器和 K8S 访问 API | 用于容器的 Defender | 商业云和国家云:Azure 政府云,Azure 由世纪互联运营 |
| 工作负荷检测 | 监视容器化工作负载是否存在威胁,并向可疑活动发出警报 | AKS | GA | - | 需要 Defender 传感器 | 用于容器的 Defender | 商业云和国家云:Azure 政府云,Azure 由世纪互联运营 |
Azure 中用于运行时威胁防护的 Kubernetes 发行版和配置
| 方面 | 详细信息 |
|---|---|
| Kubernetes 发行版和配置 |
支持 * Azure Kubernetes Service (AKS)与Kubernetes RBAC 通过已启用 Arc 的 Kubernetes 支持12 * Kubernetes * AKS 引擎 |
应支持 1 任何经 Cloud Native Computing Foundation(CNCF)认证的 Kubernetes 群集,但仅对 Azure 的指定群集进行了测试。
2 若要获取适用于容器的 Microsoft Defender 保护环境,需要载入已启用 Azure Arc 的 Kubernetes并为容器启用 Defender 作为 Arc 扩展。
注意
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
安全态势管理功能
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows发布状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| Kubernetes 的无代理发现1 | 提供对 Kubernetes 群集及其配置和部署的零占用、基于 API 的发现。 | AKS | GA | GA | 需要 K8S API 访问权限 | 用于容器的 Defender OR Defender CSPM | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 全面的清单功能 | 使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,以便轻松监视和管理资产。 | ACR、AKS | GA | GA | 需要 K8S API 访问权限 | 用于容器的 Defender OR Defender CSPM | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 攻击路径分析 | 基于图的算法,用于扫描云安全图。 扫描会暴露恶意行为者可能用来攻破您环境的可利用路径。 | ACR、AKS | GA | GA | 需要 K8S API 访问权限 | Defender 云安全态势管理 (Defender CSPM) | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 加强的风险检测 | 使安全管理员能够通过安全资源管理器中的查询(内置和安全见解)主动搜寻容器化资产中的状况问题。 | ACR、AKS | GA | GA | 需要 K8S API 访问权限 | 用于容器的 Defender OR Defender CSPM | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 控制平面强化 1 | 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现配置错误时,Defender for Cloud会生成Defender for Cloud“建议”页上提供的安全建议。 可以根据这些建议调查并修正问题。 | ACR、AKS | GA | GA | 使用计划启用 | 免费 | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| 工作负荷强化1 | 使用最佳做法建议保护 Kubernetes 容器的工作负荷。 | AKS | GA | - | 需要 Azure Policy | 免费 | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
| CIS Azure Kubernetes Service | CIS Azure Kubernetes Service 服务基准 | AKS | GA | - | 被指定为安全标准 | 用于容器的 Defender OR Defender CSPM | 商业云 国家云:Azure Government,Azure 由世纪互联运营 |
支持的主机操作系统
用于容器的Defender依赖于Defender传感器实现多个功能。 Defender传感器仅在以下主机操作系统上受 Linux 内核 5.4 及更高版本支持:
- Amazon Linux 2
- CentOS 8(CentOS 于 2024 年 6 月 30 日终止服务。有关详细信息,请参阅 CentOS 生命周期指南。
- Debian 10
- Debian 11
- Google 容器优化 OS
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
确保 Kubernetes 节点在其中一个已验证的作系统上运行。 具有不受支持的主机操作系统的群集不会获得依赖于Defender传感器的功能的优势。
Microsoft Defender传感器性能限制
AKS 版本 1.28 和早期版本中的 Defender 传感器不支持 Arm64 节点。
后续步骤
- 了解 Defender for Cloud 如何管理和保护数据。
- 查看支持 Defender for Cloud 的平台。