共用方式為


適用於雲端的 Defender 中的容器支援矩陣

警告

本文參考 CentOS,這是 Linux 發行版,已於 2024 年 6 月 30 日終止服務 (EOL)。 請據此考慮您的使用方式和規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導

本文摘要說明適用於雲端的 Microsoft Defender 中容器功能的支援資訊。

注意

  • 特定功能目前為預覽狀態。 Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
  • 只有雲端廠商支援的 AKS、EKS 和 GKE 版本受到適用於雲端的 Defender 正式支援。

Azure

以下是適用於容器的 Defender 中每個網域的功能:

安全性狀態管理

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
Kubernetes 的無代理程式探索 提供 Kubernetes 叢集的零使用量、以 API 為基礎的探索、其設定和部署。 AKS GA GA 啟用 [Kubernetes 上的無代理程式探索] 切換 無代理程式 適用於容器的 Defender Defender CSPM Azure 商業雲端
完整的詳細目錄功能 可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 ACR、AKS GA GA 啟用 [Kubernetes 上的無代理程式探索] 切換 無代理程式 適用於容器的 Defender Defender CSPM Azure 商業雲端
攻擊路徑分析 以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會公開攻擊者可能用來入侵您環境的惡意探索路徑。 ACR、AKS GA GA 已使用方案啟用 無代理程式 Defender CSPM (需要啟用 Kubernetes 的無代理程式探索) Azure 商業雲端
增強的風險搜捕 可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 ACR、AKS GA GA 啟用 [Kubernetes 上的無代理程式探索] 切換 無代理程式 適用於容器的 Defender Defender CSPM Azure 商業雲端
強化控制平面 持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當發現設定錯誤時,適用於雲端的 Defender 會產生適用於雲端的 Defender 建議頁面上可用的安全性建議。 建議可讓您調查和補救問題。 ACR、AKS GA GA 已使用方案啟用 無代理程式 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
強化 Kubernetes 資料平面 使用最佳做法建議來保護 Kubernetes 容器的工作負載。 AKS GA - 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 Azure 原則 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
Docker CIS Docker CIS 基準 VM、虛擬機器擴展集 GA - 已使用方案啟用 Log Analytics 代理程式 適用於伺服器的 Defender 方案 2 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Microsoft Azure

弱點評估

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 ACR 中映像的弱點評量 ACR、私人 ACR GA GA 啟用 [無代理程式容器弱點評量] 切換 無代理程式 適用於容器的 Defender 或 Defender CSPM 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
無代理程式/代理程式型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 AKS 中執行中映像的弱點評量 AKS GA GA 啟用 [無代理程式容器弱點評量] 切換 無代理程式 (需要 Kubernetes 的無代理程式探索) 或/和 Defender 感應器 適用於容器的 Defender 或 Defender CSPM 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure

執行階段威脅防護

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
控制平面 根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 AKS GA GA 已使用方案啟用 無代理程式 適用於容器的 Defender 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
工作負載 針對叢集層級、節點層級和工作負載層級偵測 Kubernetes 的可疑活動 AKS GA - 啟用 Azure 中的 Defender 感應器切換在個別叢集上部署 Defender 感應器 Defender 感應器 適用於容器的 Defender 商業雲端

國家/地區雲端:Azure Government、Azure China 21Vianet

部署和監視

功能 描述 支援的資源 Linux 版本狀態 Windows 版本狀態 啟用方法 Sensor 計劃 Azure 雲端可用性
探索未受保護的叢集 探索缺少 Defender 感應器的 Kubernetes 叢集 AKS GA GA 已使用方案啟用 無代理程式 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
Defender 感應器自動佈建 自動部署 Defender 感應器 AKS GA - 啟用 [Azure 中的 Defender 感應器] 切換 無代理程式 適用於容器的 Defender 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure
適用於 Kubernetes 的 Azure 原則自動佈建 適用於 Kubernetes 的 Azure 原則感應器自動部署 AKS GA - 啟用 [適用於 Kubernetes 的 Azure 原則] 切換 無代理程式 免費 商業雲端

國家雲端:Azure Government、由 21Vianet 營運的 Azure

Azure 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量

層面 詳細資料
登錄和映像 支援
• ACR 登錄
使用 Azure Private Link 保護的 ACR 登錄 (私人登錄需要存取受信任的服務)
• 容器映像的格式為 Docker V2
Open Container Initiative (OCI) 映像格式規格的映像
不支援
• 極簡映像如 Docker scratch 映像
目前不支援
作業系統 支援
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9。 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
• Oracle Linux 6-9
• Amazon Linux 1、2
• openSUSE Leap、openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (以 Debian GNU/Linux 7-12 為基礎)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows Server 2016、2019、2022
語言專屬套件

支援
• Python
• Node.js
• .NET
• JAVA
• Go

適用於 Azure 的 Kubernetes 發行版本和組態 - 執行階段威脅防護

層面 詳細資料
Kubernetes 散發套件和設定 支援
• 使用 Kubernetes RBACAzure Kubernetes Service (AKS)

透過已啟用 Arc 的 Kubernetes 支援 1 2
Azure Kubernetes Service 混合式
Kubernetes
AKS 引擎
Azure Red Hat OpenShift

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過在 Azure 上測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

AWS

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 Kubernetes 的無代理程式探索 EKS GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 完整的詳細目錄功能 ECR、EKS GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 攻擊路徑分析 ECR、EKS GA GA 無代理程式 Defender CSPM
安全性狀態管理 增強的風險搜捕 ECR、EKS GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 Docker CIS EC2 GA - Log Analytics 代理程式 適用於伺服器的 Defender 方案 2
安全性狀態管理 強化控制平面 - - - - -
安全性狀態管理 Kubernetes 資料平面強化 EKS GA - 適用於 Kubernetes 的 Azure 原則 適用於容器的 Defender
弱點評估 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 ECR GA GA 無代理程式 適用於容器的 Defender 或 Defender CSPM
弱點評估 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 EKS GA GA 無代理程式或/和 Defender 感應器 適用於容器的 Defender 或 Defender CSPM
執行階段保護 控制平面 EKS GA GA 無代理程式 適用於容器的 Defender
執行階段保護 工作負載 EKS GA - Defender 感應器 適用於容器的 Defender
部署和監視 探索未受保護的叢集 EKS GA GA 無代理程式 適用於容器的 Defender
部署和監視 Defender 感應器的自動佈建 EKS GA - - -
部署和監視 適用於 Kubernetes 的 Azure 原則自動佈建 EKS GA - - -

AWS 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量

層面 詳細資料
登錄和映像 支援
• ECR 登錄
• 容器映像的格式為 Docker V2
Open Container Initiative (OCI) 映像格式規格的映像
不支援
• 目前不支援極簡映像,例如 Docker scratch 映像
• 公用存放庫
• 資訊清單
作業系統 支援
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
• Oracle Linux 6-9
• Amazon Linux 1、2
• openSUSE Leap、openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (以 Debian GNU/Linux 7-12 為基礎)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows server 2016、2019、2022
語言專屬套件

支援
• Python
• Node.js
• .NET
• JAVA
• Go

AWS 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護

層面 詳細資料
Kubernetes 散發套件和設定 支援
Amazon Elastic Kubernetes 服務 (EKS)

透過已啟用 Arc 的 Kubernetes 支援 1 2
Kubernetes
不支援
• EKS 私人叢集

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

輸出 Proxy 支援 - AWS

支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy

具有 IP 限制的叢集 - AWS

如果您在 AWS 中的 Kubernetes 叢集已啟用控制平面 IP 限制 (請參閱 Amazon EKS 叢集端點存取控制 - Amazon EKS),則會更新控制平面的 IP 限制設定,以包含適用於雲端的 Microsoft Defender 的 CIDR 區塊。

GCP

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 Kubernetes 的無代理程式探索 GKE GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 完整的詳細目錄功能 GAR、GCR、GKE GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 攻擊路徑分析 GAR、GCR、GKE GA GA 無代理程式 Defender CSPM
安全性狀態管理 增強的風險搜捕 GAR、GCR、GKE GA GA 無代理程式 適用於容器的 Defender Defender CSPM
安全性狀態管理 Docker CIS GCP VM GA - Log Analytics 代理程式 適用於伺服器的 Defender 方案 2
安全性狀態管理 強化控制平面 GKE GA GA 無代理程式 免費
安全性狀態管理 Kubernetes 資料平面強化 GKE GA - 適用於 Kubernetes 的 Azure 原則 適用於容器的 Defender
弱點評估 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 GAR、GCR GA GA 無代理程式 適用於容器的 Defender 或 Defender CSPM
弱點評估 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 GKE GA GA 無代理程式或/和 Defender 感應器 適用於容器的 Defender 或 Defender CSPM
執行階段保護 控制平面 GKE GA GA 無代理程式 適用於容器的 Defender
執行階段保護 工作負載 GKE GA - Defender 感應器 適用於容器的 Defender
部署和監視 探索未受保護的叢集 GKE GA GA 無代理程式 適用於容器的 Defender
部署和監視 Defender 感應器的自動佈建 GKE GA - 無代理程式 適用於容器的 Defender
部署和監視 適用於 Kubernetes 的 Azure 原則自動佈建 GKE GA - 無代理程式 適用於容器的 Defender

GCP 的登錄和映像支援 - 由 Microsoft Defender 弱點管理提供的弱點評量

層面 詳細資料
登錄和映像 支援
• Google 登錄 (GAR、GCR)
• 容器映像的格式為 Docker V2
Open Container Initiative (OCI) 映像格式規格的映像
不支援
• 目前不支援極簡映像,例如 Docker scratch 映像
• 公用存放庫
• 資訊清單
作業系統 支援
• Alpine Linux 3.12-3.19
• Red Hat Enterprise Linux 6-9
• CentOS 6-9 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
• Oracle Linux 6-9
• Amazon Linux 1、2
• openSUSE Leap、openSUSE Tumbleweed
• SUSE Enterprise Linux 11-15
• Debian GNU/Linux 7-12
• Google Distroless (以 Debian GNU/Linux 7-12 為基礎)
• Ubuntu 12.04-22.04
• Fedora 31-37
• Mariner 1-2
• Windows server 2016、2019、2022
語言專屬套件

支援
• Python
• Node.js
• .NET
• JAVA
• Go

GCP 的 Kubernetes 發行版本/組態支援 - 執行階段威脅防護

層面 詳細資料
Kubernetes 散發套件和設定 支援
Google Kubernetes 引擎 (GKE) 標準

透過已啟用 Arc 的 Kubernetes 支援 1 2
Kubernetes

不支援
• 私人網路叢集
• GKE autopilot
• GKE AuthorizedNetworksConfig

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

輸出 Proxy 支援 - GCP

支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy

具有 IP 限制的叢集 - GCP

如果您在 GCP 中的 Kubernetes 叢集已啟用控制平面 IP 限制 (請參閱新增用於存取控制平面的授權網路 | Google Kubernetes Engine (GKE) | Google Cloud),則會更新控制平面的 IP 限制設定,以包含適用於雲端的 Microsoft Defender 的 CIDR 區塊。

內部部署、已啟用 Arc 的 Kubernetes 叢集

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 Docker CIS 已啟用 Arc 的 VM 預覽​​ - Log Analytics 代理程式 適用於伺服器的 Defender 方案 2
安全性狀態管理 強化控制平面 - - - - -
安全性狀態管理 Kubernetes 資料平面強化 已啟用 Arc 的 K8s 叢集 GA - 適用於 Kubernetes 的 Azure 原則 適用於容器的 Defender
執行階段保護 威脅防護 (控制平面) 已啟用 Arc 的 K8s 叢集 預覽 預覽 Defender 感應器 適用於容器的 Defender
執行階段保護 威脅防護 (工作負載) 已啟用 Arc 的 K8s 叢集 預覽​​ - Defender 感應器 適用於容器的 Defender
部署和監視 探索未受保護的叢集 已啟用 Arc 的 K8s 叢集 預覽​​ - 無代理程式 免費
部署和監視 Defender 感應器的自動佈建 已啟用 Arc 的 K8s 叢集 預覽 預覽 無代理程式 適用於容器的 Defender
部署和監視 適用於 Kubernetes 的 Azure 原則自動佈建 已啟用 Arc 的 K8s 叢集 預覽​​ - 無代理程式 適用於容器的 Defender

外部容器登錄

網域 功能 支援的資源 Linux 版本狀態 Windows 版本狀態 無代理程式/感應器型 定價層
安全性狀態管理 完整的詳細目錄功能 Docker Hub (英文) 預覽 預覽 無代理程式 基礎 CSPM 適用於容器的 DefenderDefender CSPM
安全性狀態管理 攻擊路徑分析 Docker Hub (英文) 預覽 預覽 無代理程式 Defender CSPM
弱點評估 無代理程式登錄掃描 (由 Microsoft Defender 弱點管理提供) 支援的套件 Docker Hub (英文) 預覽 預覽 無代理程式 適用於容器的 Defender Defender CSPM
弱點評估 無代理程式/感應器型執行階段 (由 Microsoft Defender 弱點管理提供) 支援的套件 Docker Hub (英文) 預覽 預覽 無代理程式或/和 Defender 感應器 適用於容器的 Defender Defender CSPM

Kubernetes 散發套件和設定

層面 詳細資料
Kubernetes 散發套件和設定 透過已啟用 Arc 的 Kubernetes 支援 1 2
Azure Kubernetes Service 混合式
Kubernetes
AKS 引擎
Azure Red Hat OpenShift
Red Hat OpenShift (4.6 版或更新版本)
VMware Tanzu Kubernetes 格線
Rancher Kubernetes 引擎

1 支援任何雲端原生運算基礎 (CNCF) 認證的 Kubernetes 叢集,但僅限經過測試的指定叢集。

2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。

注意

如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制

支援的主機作業系統

適用於容器的 Defender 有數項功能依賴 Defender 感應器。 下列主機作業系統支援 Defender 感應器:

  • Amazon Linux 2
  • CentOS 8 (CentOS 已於 2024 年 6 月 30 日終止服務 (EOL)。 如需詳細資訊,請參閱 CentOS 終止服務指導。)
  • Debian 10
  • Debian 11
  • Google Container-Optimized OS
  • Mariner 1.0
  • Mariner 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

請確定您的 Kubernetes 節點已在其中一個驗證支援的作業系統上執行。 使用不同主機作業系統的叢集只會取得部分涵蓋範圍。

Defender 感應器限制

Arm64 節點上不支援 AKS V1.28 和以下的 Defender 感應器。

網路限制

輸出 Proxy 支援

支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援預期受信任憑證的輸出 Proxy

下一步