Matriz de compatibilidad de contenedores en Defender for Cloud

Caution

En este artículo se hace referencia a CentOS, una distribución de Linux que alcanzó el final del servicio el 30 de junio de 2024. Tenga en cuenta su uso y planifique en consecuencia. Para más información, consulte la Guía de fin de ciclo de vida de CentOS.

Importante

Todas las características de Microsoft Defender for Cloud se retirarán oficialmente en Azure en la región de China el 18 de agosto de 2026. Debido a esta próxima retirada, los clientes de Azure en China ya no pueden incorporar nuevas suscripciones al servicio. Una nueva suscripción es cualquier suscripción que aún no se haya incorporado al servicio Microsoft Defender for Cloud antes del 18 de agosto de 2025, la fecha del anuncio de retirada. Para obtener más información sobre la obsolescencia, consulte el Anuncio sobre la retirada de Microsoft Defender for Cloud en Microsoft Azure, operado por 21Vianet.

Los clientes deben trabajar con sus representantes de cuenta para Microsoft Azure operados por 21Vianet para evaluar el impacto de esta retirada en sus propias operaciones.

En este artículo se resume la información de soporte técnico de las funcionalidades de contenedor en Microsoft Defender for Cloud.

Note

Las características específicas están en versión preliminar. Los Términos de uso complementarios para las versiones preliminares de Azure incluyen otros términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.
Defender for Cloud admite oficialmente solo las versiones de AKS, EKS y GKE que admite el proveedor de nube.

En la tabla siguiente se enumeran las características proporcionadas por Defender for Containers para los entornos de nube admitidos y los registros de contenedor.

Disponibilidad de planes de Microsoft Defender para contenedores

Aspect	Details
Estado de la versión:	Disponibilidad general (GA) Algunas características están en versión preliminar. Para obtener una lista completa, consulte las tablas siguientes.
Precios:	Microsoft Defender para contenedores se factura como se muestra en la página de precios. También puede calcular los costos con la calculadora de costos de Defender for Cloud.
Roles y permisos necesarios:	Para implementar los componentes necesarios, consulte los permisos de cada uno de los componentes. Administración de seguridad puede descartar las alertas * Lector de seguridad puede visualizar las vulnerabilidades de la evaluación Consulte también Roles para la corrección y Roles y permisos de Azure Container Registry

Características de evaluación de vulnerabilidades (VA)

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
VA del registro de contenedor	VA para imágenes en registros de contenedor	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requiere el acceso al Registro¹ o la creación del conector para Docker Hub/JFrog	Defender para contenedores o Defender CSPM	Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet
VA de contenedor en tiempo de ejecución: examen del registro basado en	VA de contenedores que ejecutan imágenes de registros admitidos	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requiere el acceso al Registro¹ o la creación del conector para Docker Hub/JFrog y el acceso a la API K8S o el sensor de Defender¹	Defender para contenedores o Defender CSPM	Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet
VA del contenedor en tiempo de ejecución	Va independiente del registro de imágenes en ejecución de contenedores	All	Preview	-	Requiere escaneo sin agente para máquinas y acceso a la API de K8S o sensor de Defender¹	Defender para contenedores o Defender CSPM	Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet

¹Las nubes nacionales se habilitan automáticamente y no se pueden deshabilitar.

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
VA del registro de contenedor	Evaluaciones de vulnerabilidades para imágenes en registros de contenedor	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requiere acceso al Registro	Defender para contenedores o Defender CSPM	AWS
VA de contenedor en tiempo de ejecución: examen del registro basado en	VA de contenedores que ejecutan imágenes de registros admitidos	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	-	Requiere el examen sin agentes para máquinas y el acceso a la API de K8S o el sensor de Defender	Defender para contenedores o Defender CSPM	AWS

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
VA del registro de contenedor	Evaluaciones de vulnerabilidades para imágenes en registros de contenedor	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requiere acceso al Registro	Defender para contenedores o Defender CSPM	GCP
VA de contenedor en tiempo de ejecución: examen del registro basado en	VA de contenedores que ejecutan imágenes de registros admitidos	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	-	Requiere el examen sin agentes para máquinas y el acceso a la API de K8S o el sensor de Defender	Defender para contenedores o Defender CSPM	GCP

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
VA del registro de contenedor	Evaluaciones de vulnerabilidades para imágenes en registros de contenedor	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requiere acceso al Registro	Defender para contenedores o Defender CSPM	Clústeres conectados a Arc
VA de contenedor en tiempo de ejecución: examen del registro basado en	VA de contenedores que ejecutan imágenes de registros admitidos	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	-	Requiere el examen sin agentes para máquinas y el acceso a la API de K8S o el sensor de Defender	Defender para contenedores o Defender CSPM	Clústeres conectados a Arc

Compatibilidad con registros e imágenes para la evaluación de vulnerabilidades

Aspect	Details
Registros e imágenes	Supported * Imágenes de contenedor en formato Docker V2 * Imágenes con Open Container Initiative (OCI) especificación de formato de imagen Unsupported * Actualmente no se admiten imágenes super minimalistas, como imágenes vacías de Docker * Repositorios públicos • Listas de manifiestos
Sistemas operativos	Supported * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS alcanzará la finalización del servicio el 30 de junio de 2024. Para más información, consulte la Guía sobre la finalización del servicio de CentOS). * Oracle Linux 6 a 9 * Amazon Linux 1, 2 * openSUSE Leap (versión estable), openSUSE Tumbleweed (versión de desarrollo continuo) * SUSE Enterprise Linux 11 a 15 * Debian GNU/Linux 7 a 12 * Google Distroless (basado en Debian GNU/Linux 7-12) * Ubuntu 12.04-24.04 * Fedora 31 a 37 * Azure Linux 1-3 Windows Server 2016, 2019, 2022 * Chainguard OS/Wolfi OS * Alma Linux 8.4 o posterior * Rocky Linux 8.7 o posterior
Paquetes específicos del idioma	Supported Pitón Node.js * PHP Rubí Óxido .NET Java *Ir a

Características de protección en tiempo de ejecución

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección del plano de control	Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes	AKS	GA	GA	Habilitado según el plan	Defender para contenedores	Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet
Detección de cargas de trabajo	Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas.	AKS	GA	-	Requiere el sensor de Defender	Defender para contenedores	Nubes comerciales y nubes nacionales: Azure Government, Azure operado por 21Vianet
Detección de desfase binario	Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor	AKS	GA	-	Requiere el sensor de Defender	Defender para contenedores	Nubes comerciales
Detección de DNS	Funcionalidades de detección de DNS	AKS	Preview		Requiere el Sensor de Defender a través de Helm	Defender para contenedores	Nubes comerciales
Búsqueda avanzada en XDR	Visualización de incidentes y alertas de clúster en Microsoft XDR	AKS	Versión preliminar: actualmente admite registros de auditoría y eventos de procesos	Versión preliminar: actualmente admite registros de auditoría	Requiere el sensor de Defender	Defender para contenedores	Nubes comerciales y nubes nacionales: Azure Government, Azure operado por 21Vianet
Acciones de respuesta en XDR	Proporciona corrección automatizada y manual en Microsoft XDR	AKS	Preview	-	Requiere el sensor de Defender y la API de acceso K8S	Defender para contenedores	Nubes comerciales y nubes nacionales: Azure Government, Azure operado por 21Vianet
Detección de malware	Detección de malware	Nodos de AKS	GA	GA	Requiere el examen sin agente de máquinas	Defender for Containers o Defender for Servers Plan 2	Nubes comerciales

Distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en Azure

Aspect	Details
Distribuciones y configuraciones de Kubernetes	Supported * Azure Kubernetes Service (AKS) con RBAC de Kubernetes Se admiten a través de Kubernetes habilitado para Arc.¹² * Azure Kubernetes Service híbrido * Kubernetes * Motor de AKS

^{1 Los} clústeres de Kubernetes certificados por la Cloud Native Computing Foundation (CNCF) se deben admitir, pero solo se prueban los clústeres especificados en Azure.

² Para conseguir la protección de Microsoft Defender para contenedores para sus entornos, tendrá que incorporar Kubernetes habilitado para Azure Arc y habilitar Defender para contenedores como extensión de Arc.

Note

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección del plano de control	Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes	EKS	GA	GA	Habilitado según el plan	Defender para contenedores	AWS
Detección de cargas de trabajo	Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas.	EKS	GA	-	Requiere el sensor de Defender	Defender para contenedores	AWS
Detección de desfase binario	Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor	EKS	GA	-	Requiere el sensor de Defender	Defender para contenedores	AWS
Detección de DNS	Funcionalidades de detección de DNS	EKS	Preview		Requiere el Sensor de Defender a través de Helm	Defender para contenedores	AWS
Búsqueda avanzada en XDR	Visualización de incidentes y alertas de clúster en Microsoft XDR	EKS	Versión preliminar: actualmente admite registros de auditoría y eventos de procesos	Versión preliminar: actualmente admite registros de auditoría	Requiere el sensor de Defender	Defender para contenedores	AWS
Acciones de respuesta en XDR	Proporciona corrección automatizada y manual en Microsoft XDR	EKS	Preview	-	Requiere el sensor de Defender y la API de acceso K8S	Defender para contenedores	AWS
Detección de malware	Detección de malware	-	-	-	-	-	-

Compatibilidad con las distribuciones y configuraciones de Kubernetes para la protección contra amenazas durante la ejecución en AWS

Aspect	Details
Distribuciones y configuraciones de Kubernetes	Supported Amazon Elastic Kubernetes Service (EKS) Se admiten a través de Kubernetes habilitado para Arc.¹² Kubernetes Unsupported • Clústeres privados EKS

¹ Se deben admitir los clústeres de Kubernetes certificados de Cloud Native Computing Foundation (CNCF), pero solo se prueban los clústeres especificados.

Note

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección del plano de control	Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes	GKE	GA	GA	Habilitado según el plan	Defender para contenedores	GCP
Detección de cargas de trabajo	Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas.	GKE	GA	-	Requiere el sensor de Defender	Defender para contenedores	GCP
Detección de desfase binario	Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor	GKE	GA	-	Requiere el sensor de Defender	Defender para contenedores	GCP
Detección de DNS	Funcionalidades de detección de DNS	GKE	Preview		Requiere el sensor de Defender a través de Helm	Defender para contenedores	GCP
Búsqueda avanzada en XDR	Visualización de incidentes y alertas de clúster en Microsoft XDR	GKE	Versión preliminar: actualmente admite registros de auditoría y eventos de procesos	Versión preliminar: actualmente admite registros de auditoría	Requiere el sensor de Defender	Defender para contenedores	GCP
Acciones de respuesta en XDR	Proporciona corrección automatizada y manual en Microsoft XDR	GKE	Preview	-	Requiere el sensor de Defender y la API de acceso K8S	Defender para contenedores	GCP
Detección de malware	Detección de malware	-	-	-	-	-	-

Compatibilidad de las distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en GCP

Aspect	Details
Distribuciones y configuraciones de Kubernetes	Supported • Google Kubernetes Engine (GKE) Estándar Se admiten a través de Kubernetes habilitado para Arc.¹² Kubernetes Unsupported Clústeres de red privada Piloto automático de GKE * GKE AuthorizedNetworksConfig (Configuración de Redes Autorizadas)

¹ Se deben admitir los clústeres de Kubernetes certificados de Cloud Native Computing Foundation (CNCF), pero solo se prueban los clústeres especificados.

Note

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección del plano de control	Detección de actividad sospechosa para Kubernetes basada en la pista de auditoría de Kubernetes	Clústeres K8s habilitados para Arc	Preview	Preview	Requiere el sensor de Defender	Defender para contenedores
Detección de cargas de trabajo	Supervisa las cargas de trabajo en contenedores para detectar amenazas y proporciona alertas a actividades sospechosas.	Clústeres de Kubernetes habilitados para Arc	Preview	-	Requiere el sensor de Defender	Defender para contenedores
Detección de desfase binario	Detecta el binario del contenedor en tiempo de ejecución de la imagen de contenedor		-	-	-	-	-
Búsqueda avanzada en XDR	Visualización de incidentes y alertas de clúster en Microsoft XDR	Clústeres de Kubernetes habilitados para Arc	Versión preliminar: actualmente admite registros de auditoría y eventos de procesos	Versión preliminar: actualmente admite registros de auditoría y eventos de procesos	Requiere el sensor de Defender	Defender para contenedores
Acciones de respuesta en XDR	Proporciona corrección automatizada y manual en Microsoft XDR	-	-	-	-	-	-
Detección de malware	Detección de malware	-	-	-	-	-	-

Distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en Kubernetes habilitado para Arc

Aspect	Details
Distribuciones y configuraciones de Kubernetes	Se admiten a través de Kubernetes habilitado para Arc.¹² * Azure Kubernetes Service híbrido * Red Hat OpenShift en Azure * Red Hat OpenShift (versión 4.6 o anterior)

¹ Se deben admitir los clústeres de Kubernetes certificados de Cloud Native Computing Foundation (CNCF), pero solo se prueban los clústeres especificados.

Note

Para más información sobre los requisitos adicionales para la protección de cargas de trabajo de Kubernetes, consulta las limitaciones existentes.

Características de administración de la posición de seguridad

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección sin agente para Kubernetes¹	Proporciona descubrimiento sin huella, basado en API, de clústeres de Kubernetes, junto con sus configuraciones e implementaciones.	AKS	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	Nubes comerciales de Azure
Funcionalidades de inventario completas	Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.	ACR, AKS	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	Nubes comerciales de Azure
Análisis de rutas de acceso de ataque	Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso aprovechables que los ciberdelincuentes pueden usar para comprometer el entorno.	ACR, AKS	GA	GA	Requiere acceso a la API K8S	CSPM de Defender	Nubes comerciales de Azure
Búsqueda de riesgos mejorada	Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad.	ACR, AKS	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	Nubes comerciales de Azure
Protección del plano de control¹	Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.	ACR, AKS	GA	GA	Habilitado según el plan	Free	Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet
Endurecimiento de cargas de trabajo¹	Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados.	AKS	GA	-	Requiere Azure Policy	Free	Nubes comerciales Nubes nacionales: Azure Government, Azure operado por 21Vianet
CIS Azure Kubernetes Service	Punto de referencia de Azure Kubernetes Service de CIS	AKS	GA	-	Asignado como estándar de seguridad	Defender para contenedores O Defender CSPM	Nubes comerciales

¹ Esta característica se puede habilitar para un clúster individual al habilitar Defender para contenedores en el nivel de recursos del clúster.

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección sin agente para Kubernetes	Proporciona descubrimiento sin huella, basado en API, de clústeres de Kubernetes, junto con sus configuraciones e implementaciones.	EKS	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	Nubes comerciales de Azure
Funcionalidades de inventario completas	Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.	ECR, EKS	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	AWS
Análisis de rutas de acceso de ataque	Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso aprovechables que los ciberdelincuentes pueden usar para comprometer el entorno.	ECR, EKS	GA	GA	Requiere acceso a la API K8S	CSPM de Defender (requiere la detección sin agente para que Kubernetes esté habilitado)	AWS
Búsqueda de riesgos mejorada	Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad.	ECR, EKS	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	AWS
Protección del plano de control	Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.	-	-	-	-	-	-
Endurecimiento de cargas de trabajo	Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados.	EKS	GA	-	Requiere aprovisionamiento automático de la extensión de Azure Policy para Azure Arc	Free	AWS
CIS Azure Kubernetes Service	Punto de referencia de Azure Kubernetes Service de CIS	EKS	GA	-	Asignado como estándar de seguridad	Defender para contenedores O Defender CSPM	AWS

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección sin agente para Kubernetes	Proporciona descubrimiento sin huella, basado en API, de clústeres de Kubernetes, junto con sus configuraciones e implementaciones.	GKE	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	GCP
Funcionalidades de inventario completas	Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.	GCR, GAR, GKE	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	GCP
Análisis de rutas de acceso de ataque	Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso aprovechables que los ciberdelincuentes pueden usar para comprometer el entorno.	GCR, GAR, GKE	GA	GA	Requiere acceso a la API K8S	CSPM de Defender	GCP
Búsqueda de riesgos mejorada	Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad.	GCR, GAR, GKE	GA	GA	Requiere acceso a la API K8S	Defender para contenedores O Defender CSPM	GCP
Protección del plano de control	Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.	GKE	GA	GA	Activado con plan	Free	GCP
Endurecimiento de cargas de trabajo	Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados.	GKE	GA	-	Requiere aprovisionamiento automático de la extensión de Azure Policy para Azure Arc	Free	GCP
CIS Azure Kubernetes Service	Punto de referencia de Azure Kubernetes Service de CIS	GKE	GA	-	Asignado como estándar de seguridad	Defender para contenedores O Defender CSPM	GCP

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Detección sin agente para Kubernetes	Proporciona descubrimiento sin huella, basado en API, de clústeres de Kubernetes, junto con sus configuraciones e implementaciones.	-	-	-	-	-	-
Funcionalidades de inventario completas	Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.	-	-	-	-	-	-
Análisis de rutas de acceso de ataque	Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso aprovechables que los ciberdelincuentes pueden usar para comprometer el entorno.	-	-	-	-	-	-
Búsqueda de riesgos mejorada	Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad.	-	-	-	-	-	-
Protección del plano de control	Evalúa continuamente las configuraciones de los clústeres y las compara con las iniciativas aplicadas a las suscripciones. Cuando encuentra configuraciones incorrectas, Defender for Cloud genera recomendaciones de seguridad que están disponibles en la página Recomendaciones de Defender for Cloud. Las recomendaciones le permiten investigar y corregir problemas.	-	-	-	-	-	-
Endurecimiento de cargas de trabajo	Proteja las cargas de trabajo de los contenedores de Kubernetes con recomendaciones de procedimientos recomendados.	Clúster de Kubernetes habilitado con Arc	GA	-	Requiere aprovisionamiento automático de la extensión de Azure Policy para Azure Arc	Defender para contenedores	Clúster de Kubernetes habilitado con Arc
CIS Azure Kubernetes Service	Punto de referencia de Azure Kubernetes Service de CIS	Máquinas virtuales habilitadas para Arc	Preview	-	Asignado como estándar de seguridad	Defender para contenedores O Defender CSPM	Clúster de Kubernetes habilitado con Arc

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Funcionalidades de inventario completas	Le permite explorar recursos, pods, servicios, repositorios, imágenes y configuraciones a través del explorador de seguridad para supervisar y administrar fácilmente los recursos.	Docker Hub, JFrog Artifactory	GA	GA	Creación del conector	CSPM básico O Defender CSPM O Defender para contenedores	-
Análisis de rutas de acceso de ataque	Un algoritmo basado en grafos que examina el gráfico de seguridad en la nube. Los análisis exponen rutas de acceso aprovechables que los ciberdelincuentes pueden usar para comprometer el entorno.	Docker Hub, JFrog Artifactory	GA	GA	Creación del conector	CSPM de Defender	-
Búsqueda de riesgos mejorada	Permite a los administradores de seguridad buscar activamente problemas de posición en sus recursos contenedorizados a través de consultas (integradas y personalizadas) e información de seguridad en el explorador de seguridad.	Docker Hub, JFrog	GA	GA	Creación del conector	Defender para contenedores O Defender CSPM

Las características de protección de la cadena de suministro del software de contenedores

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Implementación controlada	Implementación controlada de imágenes de contenedor en el entorno de Kubernetes	AKS 1.31 o posterior, Registro de Contenedores de Azure (ACR)	GA	GA	Requiere el sensor de Defender, el control de seguridad, los resultados de seguridad y el acceso al Registro.	Defender para contenedores	Nubes comerciales

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Implementación controlada	Implementación controlada de imágenes de contenedor en el entorno de Kubernetes	EKS 1.31 o superior, Amazon Elastic Container Registry (ECR)	GA	GA	Requiere el sensor de Defender, el control de seguridad, los resultados de seguridad y el acceso al Registro.	Defender para contenedores	AWS

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Implementación controlada	Implementación controlada de imágenes de contenedor en el entorno de Kubernetes	GKE 1.31 o posterior, Google Artifact Registry	GA	GA	Requiere el sensor de Defender, el control de seguridad, los resultados de seguridad y el acceso al Registro.	Defender para contenedores	GCP

Feature	Description	Recursos compatibles	Estado de versión de Linux	Estado de versión de Windows	Método de habilitación	Plans	Disponibilidad de nubes
Implementación controlada	Implementación controlada de imágenes de contenedor en el entorno de Kubernetes	Clústeres de Kubernetes habilitados para Arc	Preview	Preview	Requiere el sensor de Defender, el control de seguridad, los resultados de seguridad y el acceso al Registro.	Defender para contenedores	-

Restricciones de red

Aspect	Details
Compatibilidad con proxy de salida	Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. El proxy de salida que requiera certificados confiables no se admite actualmente.
Clústeres con restricciones de IP	Si el clúster de Kubernetes en AWS tiene habilitadas restricciones de IP del plano de control (consulte control de acceso al punto de conexión del clúster de Amazon EKS: Amazon EKS ), la configuración de restricción de IP del plano de control se actualizará para incluir el bloque CIDR de Microsoft Defender for Cloud.

Aspect	Details
Compatibilidad con proxy de salida	Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. El proxy de salida que requiera certificados confiables no se admite actualmente.
Clústeres con restricciones de IP	Si el clúster de Kubernetes en GCP tiene habilitadas las restricciones ip del plano de control (consulte GKE: Agregar redes autorizadas para el acceso al plano de control ), la configuración de restricción de IP del plano de control se actualiza para incluir el bloque CIDR de Microsoft Defender for Cloud.

Aspect	Details
Compatibilidad con proxy de salida	Se admiten un proxy de salida sin autenticación y un proxy de salida con autenticación básica. El proxy de salida que requiera certificados confiables no se admite actualmente.

Sistemas operativos de host compatibles

Defender para contenedores se basa en el sensor de Defender para varias funcionalidades. El sensor de Defender solo se admite con kernel de Linux 5.4 y versiones posteriores, en los siguientes sistemas operativos host:

Amazon Linux 2
CentOS 8 (CentOS alcanzó el final del servicio el 30 de junio de 2024. Para obtener más información, consulte la guía de fin de vida de CentOS).
Debian 10
Debian 11
Sistema operativo Container-Optimized de Google
Azure Linux 1.0
Azure Linux 2.0
Red Hat Enterprise Linux 8
Ubuntu 16.04
Ubuntu 18.04
Ubuntu 20.04
Ubuntu 22.04

Asegúrese de que el nodo de Kubernetes se ejecuta en uno de estos sistemas operativos comprobados. Los clústeres con sistemas operativos host no admitidos no obtienen los beneficios de las funcionalidades que dependen del sensor de Defender.

Limitaciones del sensor de Defender

El sensor de Defender en la versión 1.28 de AKS y versiones anteriores no admite nodos Arm64.

Pasos siguientes

Obtenga información sobre cómo Defender for Cloud administra y protege los datos.
Revise las plataformas compatibles con Defender for Cloud.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-03

Compartir a través de

Matriz de compatibilidad de contenedores en Defender for Cloud

Disponibilidad de planes de Microsoft Defender para contenedores

Características de evaluación de vulnerabilidades (VA)

Compatibilidad con registros e imágenes para la evaluación de vulnerabilidades

Características de protección en tiempo de ejecución

Distribuciones y configuraciones de Kubernetes para la protección contra amenazas en tiempo de ejecución en Azure

Características de administración de la posición de seguridad

Las características de protección de la cadena de suministro del software de contenedores

Restricciones de red

Sistemas operativos de host compatibles

Limitaciones del sensor de Defender

Pasos siguientes

Comentarios

Recursos adicionales