警告
本文引用了 CentOS,它是一个 Linux 发行版,自 2024 年 6 月 30 日起已终止服务。 请相应地考虑你的使用和规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
本文总结了 Microsoft Defender for Cloud 中的容器功能的支持信息。
注意
- 具体功能正在预览中。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- 只有云供应商支持的 AKS 版本才受到 Defender for Cloud 的正式支持。
以下是 Defender for Containers 为支持的云环境和容器注册表提供的功能。
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 赋能方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| 容器注册表 VA | 容器注册表中映像的漏洞评估 | ACR | 正式版 | 正式版 | 需要注册表访问权限1 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure 政府,Azure 由世纪互联运营 |
| 运行时容器 VA | 正在运行的容器映像的漏洞评估 | 与容器注册表源无关 | 预览 (包含 ACR 映像的容器为正式版) |
正式版 | 需要为计算机配置无代理扫描,以及 K8S API 访问权限或 Defender 传感器 1 | Defender for Containers 或 Defender CSPM | 商业云 国家云:Azure 政府、世纪互联运营的 Azure |
| 方面 | 详细信息 |
|---|---|
| 注册表和映像 | 支持 * Docker V2 格式的容器映像 * 包含开放容器计划 (OCI) 映像格式规范的映像 不支持 * 超级简单的映像(例如 Docker 暂存映像)目前不受支持 * 公共存储库 * 清单列表 |
| 操作系统 | 支持 * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9(自 2024 年 6 月 30 日起,CentOS 已终止服务)。有关详细信息,请参阅 CentOS 终止服务指导。) * Oracle Linux 6-9 * Amazon Linux 1、2 * openSUSE Leap、openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless(基于 Debian GNU/Linux 7-12) * Ubuntu 12.04-22.04 * Fedora 31-37 * Azure Linux 1-2 * Windows Server 2016、2019、2022 |
| 特定于语言的包 |
支持 * Python * Node.js * PHP * Ruby * Rust * .NET *爪哇岛 * Go |
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 启用方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| 控制平面检测 | 基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 | AKS | GA | GA | 使用计划启用 | Defender for Containers 或 Defender CSPM | 商业云/国家云:Azure 政府云、由世纪互联运营的 Azure |
| 工作负荷检测 | 监视容器化工作负载是否存在威胁,并向可疑活动发出警报 | AKS | 正式版 | - | 需要 Defender 传感器 | 容器防护系统 | 商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| 二进制偏移检测 | 从容器映像检测运行时容器的二进制文件 | AKS | GA | 正式版 | 需要 Defender 传感器 | 容器防护系统 | 商业云 |
| XDR 中的高级搜寻 | 在 Microsoft XDR 中查看群集事件和警报 | AKS | 预览版 - 目前支持审核日志和进程事件 | 预览版 - 目前支持审核日志和进程事件 | 需要 Defender 传感器 | 容器防护系统 | 商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| XDR 中的响应动作 | 在 Microsoft XDR 中提供自动和手动的修复措施 | AKS | 预览 | 预览 | 需要 Defender 传感器 和 K8S 访问 API | 容器防护系统 | 商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| 恶意软件检测 | 检测恶意软件 | AKS 节点 | 预览 | 预览 | 需要为计算机配置无代理扫描 | Defender for Containers 或 Defender for Servers 计划 2 | 商业云 |
| 方面 | 详细信息 |
|---|---|
| Kubernetes 发行版和配置 | 支持 * 使用 Kubernetes RBAC 的 Azure Kubernetes 服务 (AKS) 通过已启用 Arc 的 Kubernetes 支持12 * Kubernetes * AKS 引擎 |
1 应支持任何经云原生计算基金会 (CNCF) 认证的 Kubernetes 群集,但仅在 Azure 上测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
| 方面 | 详细信息 |
|---|---|
| Kubernetes 发行版和配置 | 通过已启用 Arc 的 Kubernetes 支持12 * Red Hat OpenShift(4.6 或更高版本) |
1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
注意
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
| 功能 | 说明 | 支持的资源 | Linux 版本状态 | Windows 版本状态 | 激活方法 | 计划 | 云可用性 |
|---|---|---|---|---|---|---|---|
| Kubernetes 的无代理发现1 | 提供基于 API 的零足迹发现功能,用于识别 Kubernetes 群集及其配置和部署。 | AKS | GA | 正式版 | 需要 K8S API 访问权限 | Defender for Containers 或 Defender CSPM | Azure 商业云 |
| 控制平面强化 1 | 持续评估群集的配置,并将其与应用于订阅的计划进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 | ACR、AKS | 正式版 | GA | 使用计划启用 | 免费 | 商业云 国家云:Azure 政府、世纪互联运营的 Azure |
| 工作负荷强化1 | 使用最佳做法建议保护 Kubernetes 容器的工作负荷。 | AKS | GA | - | 需要 Azure Policy | 免费 | 商业云 国家云:Azure 政府,以及由世纪互联运营的 Azure |
| CIS Azure Kubernetes 服务 | CIS Azure Kubernetes 服务基准 | AKS | GA | - | 被指定为安全标准 | Defender for Containers 或 Defender CSPM | 商业云 |
Defender for Containers 依赖于 Defender 传感器来实现多项功能。 在以下主机操作系统上,仅在 Linux 内核 5.4 及以上版本支持 Defender 传感器:
- Amazon Linux 2
- CentOS 8(自 2024 年 6 月 30 日起,CentOS 已终止服务)。有关详细信息,请参阅 CentOS 终止服务指导。)
- Debian 10
- Debian 11
- Google 容器优化 OS
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
确保 Kubernetes 节点在经过验证的操作系统之一上运行。 具有不受支持的主机操作系统的群集无法从依赖于 Defender 传感器的功能中获益。
Arm64 节点上不支持 AKS V1.28 及更低版本中的 Defender 传感器。