Matriz de suporte de contêineres no Defender para Nuvem

Caution

Este artigo faz referência ao CentOS, uma distribuição do Linux que chegou ao fim do serviço em 30 de junho de 2024. Considere seu uso e planeje adequadamente. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.

Importante

Todos os recursos do Microsoft Defender para Nuvem serão oficialmente desativados na região do Azure na China em 18 de agosto de 2026. Devido a essa próxima desativação, os clientes do Azure na China não poderão mais integrar novas assinaturas ao serviço. Uma nova assinatura é qualquer assinatura que ainda não foi integrada ao serviço Microsoft Defender para Nuvem antes de 18 de agosto de 2025, data do anúncio de desativação. Para obter mais informações sobre a desativação, veja Comunicado de reprovação do Microsoft Defender para Nuvem no Microsoft Azure Operado pela 21Vianet.

Os clientes devem trabalhar com seus representantes de conta para o Microsoft Azure operado pela 21Vianet para avaliar o impacto dessa aposentadoria em suas próprias operações.

Este artigo resume as informações de suporte para recursos de contêiner no Microsoft Defender para Nuvem.

Note

Os recursos específicos estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Defender para Nuvem dá suporte oficialmente apenas às versões do AKS, EKS e GKE compatíveis com o fornecedor de nuvem.

A tabela a seguir lista os recursos fornecidos pelo Defender para Contêineres para os ambientes de nuvem com suporte e registros de contêiner.

Disponibilidade de plano do Microsoft Defender para contêineres

Aspect	Details
Estado da versão:	Disponibilidade geral (GA) Alguns recursos estão em versão prévia. Para obter uma lista completa, consulte as tabelas abaixo
Preço:	O Microsoft Defender para Contêineres é cobrado conforme mostrado na página de preços. Você também pode estimar os custos com a calculadora de custos do Defender para Nuvem.
Funções e permissões necessárias:	Para implantar os componentes necessários, consulte as permissões para cada um dos componentes Administrador de segurança pode ignorar alertas * Leitor de segurança pode visualizar conclusões da avaliação de vulnerabilidades Confira também Funções para correção e Funções e permissões do Registro de Contêiner do Azure

Características de avaliação de vulnerabilidade

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Registro de Contêineres VA	VA para imagens em registros de contêiner	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requer acesso ao Registro¹ ou criação do Conector para o Hub do Docker/JFrog	Defender para contêineres OU GPSN do Defender	Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
VA do contêiner de runtime – Verificação do Registro com base	VA de contêineres que executam imagens de registros com suporte	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requer acesso ao Registro¹ ou criação de conector para Docker Hub/JFrog e acesso à API K8S ou sensor Defender¹	Defender para contêineres OU GPSN do Defender	Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
VA do contêiner de runtime	VA independente do Registro de imagens em execução de contêiner	All	Preview	-	Requer verificação sem agente para máquinas e acesso à API K8S ou sensor do Defender¹	Defender para contêineres OU GPSN do Defender	Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet

¹As nuvens nacionais são habilitadas automaticamente e não podem ser desabilitadas.

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Registro de Contêineres VA	Avaliações de vulnerabilidade para imagens em registros de contêiner	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requer acesso ao Registro	Defender para contêineres OU GPSN do Defender	AWS
VA do contêiner de runtime – Verificação do Registro com base	VA de contêineres que executam imagens de registros com suporte	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	-	Requer escaneamento sem agente para máquinas e acesso à API K8S ou sensor do Defender	Defender para contêineres OU GPSN do Defender	AWS

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Registro de Contêineres VA	Avaliações de vulnerabilidade para imagens em registros de contêiner	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requer acesso ao Registro	Defender para contêineres OU GPSN do Defender	GCP
VA do contêiner de runtime – Verificação do Registro com base	VA de contêineres que executam imagens de registros com suporte	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	-	Requer escaneamento sem agente para máquinas e acesso à API K8S ou sensor do Defender	Defender para contêineres OU GPSN do Defender	GCP

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Registro de Contêineres VA	Avaliações de vulnerabilidade para imagens em registros de contêiner	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	GA	Requer acesso ao Registro	Defender para contêineres OU GPSN do Defender	Clusters conectados ao Arc
VA do contêiner de runtime – Verificação do Registro com base	VA de contêineres que executam imagens de registros com suporte	ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory	GA	-	Requer escaneamento sem agente para máquinas e acesso à API K8S ou sensor do Defender	Defender para contêineres OU GPSN do Defender	Clusters conectados ao Arc

Suporte a registros e imagens para avaliação de vulnerabilidade

Aspect	Details
Registros e imagens	Supported • Imagens de contêiner no formato do Docker V2 Imagens com especificação de formato de imagem de Open Container Initiative (OCI) Unsupported • No momento, imagens super minimalistas, como imagens de rascunhos do Docker, não têm suporte • Repositórios públicos • Listas de manifesto
Sistemas operacionais	Supported * Alpine Linux 3.12-3.21 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (o CentOS chegou ao fim do serviço em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.) * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 • Google Distroless (baseado no Debian GNU/Linux 7-12) * Ubuntu 12.04-24.04 * Fedora 31-37 * Azure Linux 1-3 Windows Server 2016, 2019, 2022. * Sistema operacional Chainguard/Wolfi OS * Alma Linux 8.4 ou posterior * Rocky Linux 8.7 ou posterior
Pacotes específicos de idioma	Supported Pitão Node.js * PHP Rubi Ferrugem .NET Java * Vá

Recursos de proteção de runtime

Azure
AWS
GCP
Clusters Kubernetes habilitados pelo Arc

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Detecção de plano de controle	Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes	AKS	GA	GA	Habilitado com plano	Defender para contêineres	Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Detecção de carga de trabalho	Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas	AKS	GA	-	Requer sensor do Defender	Defender para contêineres	Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Detecção de deriva binária	Detecta binário do contêiner de runtime da imagem de contêiner	AKS	GA	-	Requer sensor do Defender	Defender para contêineres	Nuvens comerciais
Detecção de DNS	Recursos de detecção de DNS	AKS	Preview		Requer o sensor do Defender via Helm	Defender para contêineres	Nuvens comerciais
Busca avançada em XDR	Exibir incidentes e alertas de cluster no Microsoft XDR	AKS	Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo	Versão prévia – atualmente dá suporte a logs de auditoria	Requer sensor do Defender	Defender para contêineres	Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Ações de resposta em XDR	Fornece correção automatizada e manual no Microsoft XDR	AKS	Preview	-	Requer sensor Defender e API de acesso K8S	Defender para contêineres	Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Detecção de software mal-intencionado	Detecção de malware	Nós do AKS	GA	GA	Requer verificação sem agente para computadores	Defender para Contêineres ou Plano 2 do Defender para Servidores	Nuvens comerciais

Distribuições e configurações do Kubernetes para proteção contra ameaças em runtime no Azure

Aspect	Details
Distribuições e configurações do Kubernetes	Supported * Serviço de Kubernetes do Azure (AKS) com RBAC do Kubernetes Com suporte por meio do Kubernetes habilitado para Arc¹² * Serviço de Kubernetes do Azure híbrido * Kubernetes * Mecanismo do AKS

¹ Todos os clusters kubernetes certificados do CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados são testados no Azure.

² Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.

Note

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Detecção de plano de controle	Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes	EKS	GA	GA	Habilitado com plano	Defender para contêineres	AWS
Detecção de carga de trabalho	Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas	EKS	GA	-	Requer sensor do Defender	Defender para contêineres	AWS
Detecção de deriva binária	Detecta binário do contêiner de runtime da imagem de contêiner	EKS	GA	-	Requer sensor do Defender	Defender para contêineres	AWS
Detecção de DNS	Recursos de detecção de DNS	EKS	Preview		Requer o sensor do Defender via Helm	Defender para contêineres	AWS
Busca avançada em XDR	Exibir incidentes e alertas de cluster no Microsoft XDR	EKS	Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo	Versão prévia – atualmente dá suporte a logs de auditoria	Requer sensor do Defender	Defender para contêineres	AWS
Ações de resposta em XDR	Fornece correção automatizada e manual no Microsoft XDR	EKS	Preview	-	Requer sensor Defender e API de acesso K8S	Defender para contêineres	AWS
Detecção de software mal-intencionado	Detecção de malware	-	-	-	-	-	-

Suporte a distribuições e configurações do Kubernetes para proteção contra ameaças em runtime no AWS

Aspect	Details
Distribuições e configurações do Kubernetes	Supported Amazon EKS (Elastic Kubernetes Service) Com suporte por meio do Kubernetes habilitado para Arc¹² Kubernetes Unsupported • Clusters privados do EKS

¹ Todos os clusters kubernetes certificados do CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados são testados.

Note

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Detecção de plano de controle	Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes	GKE	GA	GA	Habilitado com plano	Defender para contêineres	GCP
Detecção de carga de trabalho	Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas	GKE	GA	-	Requer sensor do Defender	Defender para contêineres	GCP
Detecção de deriva binária	Detecta binário do contêiner de runtime da imagem de contêiner	GKE	GA	-	Requer sensor do Defender	Defender para contêineres	GCP
Detecção de DNS	Recursos de detecção de DNS	GKE	Preview		Requer o Sensor do Defender via Helm	Defender para contêineres	GCP
Busca avançada em XDR	Exibir incidentes e alertas de cluster no Microsoft XDR	GKE	Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo	Versão prévia – atualmente dá suporte a logs de auditoria	Requer sensor do Defender	Defender para contêineres	GCP
Ações de resposta em XDR	Fornece correção automatizada e manual no Microsoft XDR	GKE	Preview	-	Requer sensor Defender e API de acesso K8S	Defender para contêineres	GCP
Detecção de software mal-intencionado	Detecção de malware	-	-	-	-	-	-

Suporte a distribuições e configurações do Kubernetes para proteção contra ameaças em runtime no GCP

Aspect	Details
Distribuições e configurações do Kubernetes	Supported Google Kubernetes Engine (GKE) Standard Com suporte por meio do Kubernetes habilitado para Arc¹² Kubernetes Unsupported Clusters de rede privada Piloto automático GKE • GKE AuthorizedNetworksConfig

¹ Todos os clusters kubernetes certificados do CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados são testados.

Note

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Detecção de plano de controle	Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes	Clusters K8s habilitados para Arc	Preview	Preview	Requer sensor do Defender	Defender para contêineres
Detecção de carga de trabalho	Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas	Cluster do Kubernetes habilitados para Arc	Preview	-	Requer sensor do Defender	Defender para contêineres
Detecção de deriva binária	Detecta binário do contêiner de runtime da imagem de contêiner		-	-	-	-	-
Busca avançada em XDR	Exibir incidentes e alertas de cluster no Microsoft XDR	Cluster do Kubernetes habilitados para Arc	Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo	Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo	Requer sensor do Defender	Defender para contêineres
Ações de resposta em XDR	Fornece correção automatizada e manual no Microsoft XDR	-	-	-	-	-	-
Detecção de software mal-intencionado	Detecção de malware	-	-	-	-	-	-

Distribuições e configurações do Kubernetes para proteção contra ameaças em runtime no Kubernetes habilitado para Arc

Aspect	Details
Distribuições e configurações do Kubernetes	Com suporte por meio do Kubernetes habilitado para Arc¹² * Serviço de Kubernetes do Azure híbrido * Azure Red Hat OpenShift * Red Hat OpenShift (versão 4.6 ou mais nova)

¹ Todos os clusters kubernetes certificados do CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados são testados.

Note

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Recursos de gerenciamento de postura de segurança

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Descoberta sem agente para o Kubernetes¹	Fornece descoberta sem pegada, baseada em API, de clusters do Kubernetes, suas configurações e implantações.	AKS	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	Nuvens comerciais do Azure
Funcionalidades abrangentes de inventário	Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.	ACR, AKS	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	Nuvens comerciais do Azure
Análise do caminho de ataque	Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os maus atores podem usar para violar seu ambiente.	ACR, AKS	GA	GA	Requer acesso à API K8S	CSPM do Defender	Nuvens comerciais do Azure
Busca de risco aprimorada	Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança.	ACR, AKS	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	Nuvens comerciais do Azure
Fortalecimento do plano de controle¹	Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.	ACR, AKS	GA	GA	Habilitado com plano	Gratuito	Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Proteção da carga de trabalho¹	Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas.	AKS	GA	-	Requer o Azure Policy	Gratuito	Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Serviço de Kubernetes do Azure do CIS	Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS	AKS	GA	-	Atribuído como um padrão de segurança	Defender para contêineres OU CSPM do Defender	Nuvens comerciais

¹ Esse recurso pode ser habilitado para um cluster individual ao habilitar o Defender para contêineres no nível de recurso do cluster.

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Descoberta sem agente para o Kubernetes	Fornece descoberta sem pegada, baseada em API, de clusters do Kubernetes, suas configurações e implantações.	EKS	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	Nuvens comerciais do Azure
Funcionalidades abrangentes de inventário	Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.	ECR, EKS	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	AWS
Análise do caminho de ataque	Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os maus atores podem usar para violar seu ambiente.	ECR, EKS	GA	GA	Requer acesso à API K8S	Defender CSPM (requer a descoberta sem agente para que o Kubernetes seja habilitado)	AWS
Busca de risco aprimorada	Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança.	ECR, EKS	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	AWS
Endurecimento do plano de controle	Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.	-	-	-	-	-	-
Proteção da carga de trabalho	Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas.	EKS	GA	-	Requer o provisionamento automático da extensão do Azure Policy para o Azure Arc	Gratuito	AWS
Serviço de Kubernetes do Azure do CIS	Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS	EKS	GA	-	Atribuído como um padrão de segurança	Defender para contêineres OU CSPM do Defender	AWS

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Descoberta sem agente para o Kubernetes	Fornece descoberta sem pegada, baseada em API, de clusters do Kubernetes, suas configurações e implantações.	GKE	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	GCP
Funcionalidades abrangentes de inventário	Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.	GCR, GAR, GKE	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	GCP
Análise do caminho de ataque	Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os maus atores podem usar para violar seu ambiente.	GCR, GAR, GKE	GA	GA	Requer acesso à API K8S	CSPM do Defender	GCP
Busca de risco aprimorada	Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança.	GCR, GAR, GKE	GA	GA	Requer acesso à API K8S	Defender para contêineres OU CSPM do Defender	GCP
Endurecimento do plano de controle	Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.	GKE	GA	GA	Ativado com plano	Gratuito	GCP
Proteção da carga de trabalho	Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas.	GKE	GA	-	Requer o provisionamento automático da extensão do Azure Policy para o Azure Arc	Gratuito	GCP
Serviço de Kubernetes do Azure do CIS	Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS	GKE	GA	-	Atribuído como um padrão de segurança	Defender para contêineres OU CSPM do Defender	GCP

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Descoberta sem agente para o Kubernetes	Fornece descoberta sem pegada, baseada em API, de clusters do Kubernetes, suas configurações e implantações.	-	-	-	-	-	-
Funcionalidades abrangentes de inventário	Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.	-	-	-	-	-	-
Análise do caminho de ataque	Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os maus atores podem usar para violar seu ambiente.	-	-	-	-	-	-
Busca de risco aprimorada	Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança.	-	-	-	-	-	-
Endurecimento do plano de controle	Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas.	-	-	-	-	-	-
Proteção da carga de trabalho	Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas.	Cluster do Kubernetes habilitado para Arc	GA	-	Requer o provisionamento automático da extensão do Azure Policy para o Azure Arc	Defender para contêineres	Cluster do Kubernetes habilitado para Arc
Serviço de Kubernetes do Azure do CIS	Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS	VMs habilitadas para Arc	Preview	-	Atribuído como um padrão de segurança	Defender para contêineres OU CSPM do Defender	Cluster do Kubernetes habilitado para Arc

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Funcionalidades abrangentes de inventário	Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos.	Docker Hub, JFrog Artifactory	GA	GA	Criação do conector	CSPM fundamental ou Defender CSPM OU Defender para Contêineres	-
Análise do caminho de ataque	Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os maus atores podem usar para violar seu ambiente.	Docker Hub, JFrog Artifactory	GA	GA	Criação do conector	CSPM do Defender	-
Busca de risco aprimorada	Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança.	Hub do Docker, JFrog	GA	GA	Criação do conector	Defender para contêineres OU CSPM do Defender

Recursos de proteção da cadeia de fornecimento de software de contêineres

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Implantação fechada	Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes	AKS 1.31 ou superior, Registro de Contêiner do Azure (ACR)	GA	GA	Requer Sensor do Defender, Controle de Segurança, Achados de Segurança e Acesso ao Registro	Defender para contêineres	Nuvens comerciais

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Implantação fechada	Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes	EKS 1.31 ou superior, Registro de Contêiner Elástico da Amazon (ECR)	GA	GA	Requer Sensor do Defender, Controle de Segurança, Achados de Segurança e Acesso ao Registro	Defender para contêineres	AWS

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Implantação fechada	Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes	GKE 1.31 ou superior, Registro de Artefatos do Google	GA	GA	Requer Sensor do Defender, Controle de Segurança, Achados de Segurança e Acesso ao Registro	Defender para contêineres	GCP

Feature	Description	Recursos suportados	Estado da versão do Linux	Estado da versão do Windows	Método de ativação	Plans	Disponibilidade de nuvens
Implantação fechada	Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes	Cluster do Kubernetes habilitados para Arc	Preview	Preview	Requer Sensor do Defender, Controle de Segurança, Achados de Segurança e Acesso ao Registro	Defender para contêineres	-

Restrições de rede

Aspect	Details
Suporte a proxy de saída	Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. No momento, não há suporte para o proxy de saída que espera certificados confiáveis.
Clusters com restrições de IP	Se o cluster do Kubernetes na AWS tiver restrições de IP do painel de controle habilitadas (confira Controle de acesso de ponto de extremidade de cluster do Amazon EKS – Amazon EKS), a configuração de restrição de IP do painel de controle será atualizada para incluir o bloco CIDR do Microsoft Defender para Nuvem.

Aspect	Details
Suporte a proxy de saída	Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. No momento, não há suporte para o proxy de saída que espera certificados confiáveis.
Clusters com restrições de IP	Se o cluster Kubernetes no GCP tiver as restrições de IP do plano de controle habilitadas (consulte GKE – Adicionar redes autorizadas para acesso ao plano de controle), a configuração de restrição de IP do plano de controle é atualizada para incluir o bloco CIDR do Microsoft Defender para Cloud.

Aspect	Details
Suporte a proxy de saída	Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. No momento, não há suporte para o proxy de saída que espera certificados confiáveis.

Sistemas operacionais do host com suporte

O Defender para Contêineres depende do sensor do Defender para várias funcionalidades. O sensor do Defender tem suporte apenas com o Kernel 5.4 do Linux e posteriores, nos seguintes sistemas operacionais host:

Amazon Linux 2
CentOS 8 (CentOS chegou ao fim do serviço em 30 de junho de 2024. Para obter mais informações, consulte as diretrizes de Fim de Vida do CentOS.)
Debian 10
Debian 11
Sistema Operacional Otimizado para Contêiner do Google
Azure Linux 1.0
Azure Linux 2.0
Red Hat Enterprise Linux 8
Ubuntu 16.04
Ubuntu 18.04
Ubuntu 20.04
Ubuntu 22.04

Certifique-se de que o nó do Kubernetes esteja em execução em um desses sistemas operacionais verificados. Clusters com sistemas operacionais hospedeiros sem suporte não recebem os benefícios dos recursos que dependem do sensor do Defender.

Limitações do sensor do Defender

O sensor Defender na versão 1.28 do AKS e versões anteriores não oferece suporte a nós Arm64.

Próximas etapas

Saiba como o Defender para Nuvem gerencia e protege os dados.
Examine as plataformas compatíveis com o Defender para Nuvem.

Comentários

Esta página foi útil?

Last updated on 2025-12-03

Compartilhar via

Matriz de suporte de contêineres no Defender para Nuvem

Disponibilidade de plano do Microsoft Defender para contêineres

Características de avaliação de vulnerabilidade

Suporte a registros e imagens para avaliação de vulnerabilidade

Recursos de proteção de runtime

Distribuições e configurações do Kubernetes para proteção contra ameaças em runtime no Azure

Recursos de gerenciamento de postura de segurança

Recursos de proteção da cadeia de fornecimento de software de contêineres

Restrições de rede

Sistemas operacionais do host com suporte

Limitações do sensor do Defender

Próximas etapas

Comentários

Recursos adicionais