Caution
Este artigo faz referência ao CentOS, uma distribuição Linux que chegou ao fim do serviço a 30 de junho de 2024. Considere a sua utilização e planeie em conformidade. Para obter mais informações, consulte as diretrizes de Fim da Vida Útil do CentOS.
Importante
Todos os recursos do Microsoft Defender for Cloud serão oficialmente desativados na região Azure na China em 18 de agosto de 2026. Devido a esta próxima desativação, os clientes do Azure na China já não podem integrar novas subscrições ao serviço. Uma nova assinatura é qualquer assinatura que ainda não tenha sido integrada ao serviço Microsoft Defender for Cloud antes de 18 de agosto de 2025, data do anúncio de desativação. Para obter mais informações sobre a desativação, consulte Microsoft Defender for Cloud Deprecation in Microsoft Azure Operated by 21Vianet Announcement.
Os clientes devem trabalhar com seus representantes de conta para o Microsoft Azure operado pela 21Vianet para avaliar o impacto dessa aposentadoria em suas próprias operações.
Este artigo resume informações de suporte para capacidades de contentores no Microsoft Defender for Cloud.
Note
- Características específicas estão em versão de pré-visualização. Os Termos Suplementares do Azure Preview incluem outros termos legais que se aplicam a funcionalidades do Azure que estão em versão beta, pré-visualização ou ainda não disponibilizadas para disponibilidade geral.
- O Defender for Cloud suporta oficialmente apenas as versões de AKS, EKS e GKE que o fornecedor da cloud suporta.
A tabela seguinte lista as funcionalidades fornecidas pelo Defender for Containers para os ambientes cloud suportados e registos de contentores.
Disponibilidade do plano do Microsoft Defender para contentores
Funcionalidades de avaliação de vulnerabilidade (VA)
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Registo de contentores VA |
VA para imagens em registos de contêineres |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
disponibilidade geral |
Requer acesso ao Registo1 ou criação de Conector para Docker Hub/JFrog |
Defender for Containers ou Defender CSPM |
Nuvens comerciais
Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Contêiner de tempo de execução VA - Baseado em verificação do registro |
VA de contêineres executando imagens de registros suportados |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
disponibilidade geral |
Requer acesso ao Registo1 ou criação de Conector para Docker Hub/JFrog e acesso à API K8S ou sensor Defender1 |
Defender for Containers ou Defender CSPM |
Nuvens comerciais
Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| VA do contêiner de funcionamento |
VA agnóstico do registo de imagens de contentor em execução |
All |
Preview |
- |
Requer varrimento sem agente para máquinas e acesso à API K8S ou sensor Defender1 |
Defender for Containers ou Defender CSPM |
Nuvens comerciais
Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
1As nuvens nacionais estão automaticamente ativadas e não podem ser desativadas.
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Registo de contentores VA |
Avaliações de vulnerabilidade para imagens em registros de contêiner |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
disponibilidade geral |
Requer acesso ao Registo |
Defender for Containers ou Defender CSPM |
AWS |
| Contêiner de tempo de execução VA - Baseado em verificação do registro |
VA de contêineres executando imagens de registros suportados |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
- |
Requer varrimento sem agente para dispositivos e acesso à API K8S ou sensor do Defender |
Defender for Containers ou Defender CSPM |
AWS |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Registo de contentores VA |
Avaliações de vulnerabilidade para imagens em registros de contêiner |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
disponibilidade geral |
Requer acesso ao Registo |
Defender for Containers ou Defender CSPM |
GCP |
| Contêiner de tempo de execução VA - Baseado em verificação do registro |
VA de contêineres executando imagens de registros suportados |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
- |
Requer varrimento sem agente para dispositivos e acesso à API K8S ou sensor do Defender |
Defender for Containers ou Defender CSPM |
GCP |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Registo de contentores VA |
Avaliações de vulnerabilidade para imagens em registros de contêiner |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
disponibilidade geral |
Requer acesso ao Registo |
Defender for Containers ou Defender CSPM |
Clusters Conectados por Arco |
| Contêiner de tempo de execução VA - Baseado em verificação do registro |
VA de contêineres executando imagens de registros suportados |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
disponibilidade geral |
- |
Requer varrimento sem agente para dispositivos e acesso à API K8S ou sensor do Defender |
Defender for Containers ou Defender CSPM |
Clusters Conectados por Arco |
Suporte de registos e imagens para avaliação de vulnerabilidades
| Aspect |
Details |
| Registos e imagens |
Supported
* Imagens de contentores no formato Docker V2
* Imagens com a especificação do formato de imagem da Open Container Initiative (OCI)
Unsupported
* Imagens super-minimalistas, como imagens de rascunho do Docker, não são suportadas no momento
* Repositórios públicos
* Listas de manifestos
|
| Sistemas operativos |
Supported
* Linux alpino 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (CentOS será descontinuado a partir de 30 de junho de 2024. Para obter mais informações, consulte as diretrizes de fim de vida útil do CentOS.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Servidor Windows 2016, 2019, 2022
* Chainguard OS / Wolfi OS
* Alma Linux 8.4 ou posterior
* Rocky Linux 8.7 ou posterior |
Pacotes linguísticos específicos
|
Supported
* Python
* Node.js
* PHP
* Rubi
* Ferrugem
* .NET
* Java
* Ir |
Funcionalidades de proteção durante o tempo de execução
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Detecção do plano de controlo |
Deteção de atividade suspeita no Kubernetes com base nos relatórios de auditoria do Kubernetes |
AKS |
disponibilidade geral |
disponibilidade geral |
Ativado com um plano |
Defender para contenedores |
Nuvens comerciais Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Deteção de carga de trabalho |
Monitora cargas de trabalho em contêineres em busca de ameaças e fornece alertas para atividades suspeitas |
AKS |
disponibilidade geral |
- |
Requer sensor Defender |
Defender para contenedores |
Nuvens comerciais e nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Deteção de desvio binário |
Deteta o binário do contentor de tempo de execução a partir da imagem do contentor |
AKS |
disponibilidade geral |
- |
Requer sensor Defender |
Defender para contenedores |
Nuvens comerciais |
| Deteção de DNS |
Recursos de deteção de DNS |
AKS |
Preview |
|
Requer sensor do Defender via Helm |
Defender para contenedores |
Nuvens comerciais |
| Caça avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
AKS |
Pré-visualização - suporta atualmente registos de auditoria e eventos de processo |
Pré-visualização - atualmente suporta registos de auditoria |
Requer sensor Defender |
Defender para contenedores |
Nuvens comerciais e nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
AKS |
Preview |
- |
Requer sensor Defender e API de acesso K8S |
Defender para contenedores |
Nuvens comerciais e nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Deteção de malware |
Deteção de malware |
Nós AKS |
disponibilidade geral |
disponibilidade geral |
Necessita de monitorização sem agente para máquinas |
Defender for Containers ou Plano 2 do Defender para Servidores |
Nuvens comerciais |
Distribuições e configurações do Kubernetes para proteção contra ameaças de tempo de execução no Azure
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados são testados no Azure.
2 Para obter proteção do Microsoft Defender para Containers nos seus ambientes, precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para Containers como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Detecção do plano de controlo |
Deteção de atividade suspeita no Kubernetes com base nos relatórios de auditoria do Kubernetes |
EKS |
disponibilidade geral |
disponibilidade geral |
Ativado com um plano |
Defender para contenedores |
AWS |
| Deteção de carga de trabalho |
Monitora cargas de trabalho em contêineres em busca de ameaças e fornece alertas para atividades suspeitas |
EKS |
disponibilidade geral |
- |
Requer sensor Defender |
Defender para contenedores |
AWS |
| Deteção de desvio binário |
Deteta o binário do contentor de tempo de execução a partir da imagem do contentor |
EKS |
disponibilidade geral |
- |
Requer sensor Defender |
Defender para contenedores |
AWS |
| Deteção de DNS |
Recursos de deteção de DNS |
EKS |
Preview |
|
Requer sensor do Defender via Helm |
Defender para Contêineres |
AWS |
| Caça avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
EKS |
Pré-visualização - suporta atualmente registos de auditoria e eventos de processo |
Pré-visualização - atualmente suporta registos de auditoria |
Requer sensor Defender |
Defender para contenedores |
AWS |
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
EKS |
Preview |
- |
Requer sensor Defender e API de acesso K8S |
Defender para contenedores |
AWS |
| Deteção de malware |
Deteção de malware |
- |
- |
- |
- |
- |
- |
Distribuições e configurações do Kubernetes para suporte à proteção contra ameaças durante a execução na AWS
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados são testados.
2 Para obter proteção do Microsoft Defender para Containers nos seus ambientes, precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para Containers como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Detecção do plano de controlo |
Deteção de atividade suspeita no Kubernetes com base nos relatórios de auditoria do Kubernetes |
GKE |
disponibilidade geral |
disponibilidade geral |
Ativado com um plano |
Defender para contenedores |
GCP |
| Deteção de carga de trabalho |
Monitora cargas de trabalho em contêineres em busca de ameaças e fornece alertas para atividades suspeitas |
GKE |
disponibilidade geral |
- |
Requer sensor Defender |
Defender para contenedores |
GCP |
| Deteção de desvio binário |
Deteta o binário do contentor de tempo de execução a partir da imagem do contentor |
GKE |
disponibilidade geral |
- |
Requer sensor Defender |
Defender para contenedores |
GCP |
| Deteção de DNS |
Recursos de deteção de DNS |
GKE |
Preview |
|
Requer sensor Defender via Helm |
Defender para Contêineres |
GCP |
| Caça avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
GKE |
Pré-visualização - suporta atualmente registos de auditoria e eventos de processo |
Pré-visualização - atualmente suporta registos de auditoria |
Requer sensor Defender |
Defender para contenedores |
GCP |
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
GKE |
Preview |
- |
Requer sensor Defender e API de acesso K8S |
Defender para contenedores |
GCP |
| Deteção de malware |
Deteção de malware |
- |
- |
- |
- |
- |
- |
Suporte para distribuições de Kubernetes e configurações de Kubernetes para proteção contra ameaças em tempo de execução no GCP
| Aspect |
Details |
| Distribuições e configurações do Kubernetes |
Supported
Google Kubernetes Engine Standard (GKE)
Suportado via Kubernetes habilitado pelo Arc 12
Kubernetes
Unsupported
Clusters de redes privadas
Piloto automático GKE
* GKE Configuração de Redes Autorizadas |
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados são testados.
2 Para obter proteção do Microsoft Defender para Containers nos seus ambientes, precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para Containers como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Detecção do plano de controlo |
Deteção de atividade suspeita no Kubernetes com base nos relatórios de auditoria do Kubernetes |
Clusters K8s habilitados para Arc |
Preview |
Preview |
Requer sensor Defender |
Defender para contenedores |
|
| Deteção de carga de trabalho |
Monitora cargas de trabalho em contêineres em busca de ameaças e fornece alertas para atividades suspeitas |
Clusters Kubernetes habilitados pelo Arc |
Preview |
- |
Requer sensor Defender |
Defender para contenedores |
|
| Deteção de desvio binário |
Deteta o binário do contentor de tempo de execução a partir da imagem do contentor |
|
- |
- |
- |
- |
- |
| Caça avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
Clusters Kubernetes habilitados pelo Arc |
Pré-visualização - suporta atualmente registos de auditoria e eventos de processo |
Pré-visualização - suporta atualmente registos de auditoria e eventos de processo |
Requer sensor Defender |
Defender para contenedores |
|
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
- |
- |
- |
- |
- |
- |
| Deteção de malware |
Deteção de malware |
- |
- |
- |
- |
- |
- |
Distribuições e configurações do Kubernetes para proteção contra ameaças em tempo de execução no Kubernetes habilitado pelo Arc
1 Qualquer cluster Kubernetes certificado pela Cloud Native Computing Foundation (CNCF) deve ser suportado, mas apenas os clusters especificados são testados.
2 Para obter proteção do Microsoft Defender para Containers nos seus ambientes, precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para Containers como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção da carga de trabalho do Kubernetes, consulte as limitações existentes.
Recursos de gerenciamento de postura de segurança
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para Kubernetes1 |
Oferece descoberta de clusters Kubernetes, configurações e implementações baseadas em API, com pegada zero. |
AKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
Nuvens comerciais do Azure |
| Recursos abrangentes de inventário |
Permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos. |
ACR, AKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
Nuvens comerciais do Azure |
| Análise de trajetória de ataque |
Um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem. As varreduras revelam caminhos exploráveis que atores mal-intencionados podem usar para invadir o seu ambiente. |
ACR, AKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defensor CSPM |
Nuvens comerciais do Azure |
| Caça ao risco aprimorada |
Permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no gerenciador de segurança. |
ACR, AKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
Nuvens comerciais do Azure |
|
Endurecimento do plano de controlo1 |
Avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas. |
ACR, AKS |
disponibilidade geral |
disponibilidade geral |
Ativado com um plano |
Gratuito |
Nuvens comerciais
Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
|
Fortalecimento da carga de trabalho1 |
Proteja as cargas de trabalho de seus contêineres Kubernetes com recomendações de práticas recomendadas. |
AKS |
disponibilidade geral |
- |
Requer a Política do Azure |
Gratuito |
Nuvens comerciais
Nuvens nacionais: Azure Government, Azure operado pela 21Vianet |
| Serviço CIS Azure Kubernetes |
Benchmark do Serviço Kubernetes do Azure CIS |
AKS |
disponibilidade geral |
- |
Atribuído como padrão de segurança |
Defender for Containers OU Defender CSPM |
Nuvens comerciais
|
1 Esse recurso pode ser habilitado para um cluster individual ao habilitar o Defender for Containers no nível de recurso do cluster.
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para Kubernetes |
Oferece descoberta de clusters Kubernetes, configurações e implementações baseadas em API, com pegada zero. |
EKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
Nuvens comerciais do Azure |
| Recursos abrangentes de inventário |
Permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos. |
ECR, EKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
AWS |
| Análise de trajetória de ataque |
Um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem. As varreduras revelam caminhos exploráveis que atores mal-intencionados podem usar para invadir o seu ambiente. |
ECR, EKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender CSPM (requer a descoberta sem agente para que o Kubernetes seja habilitado) |
AWS |
| Caça ao risco aprimorada |
Permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no gerenciador de segurança. |
ECR, EKS |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
AWS |
|
Endurecimento do plano de controlo |
Avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas. |
- |
- |
- |
- |
- |
- |
|
Fortalecimento da carga de trabalho |
Proteja as cargas de trabalho de seus contêineres Kubernetes com recomendações de práticas recomendadas. |
EKS |
disponibilidade geral |
- |
Requer configuração automática da extensão da Política do Azure para o Azure Arc |
Gratuito |
AWS |
| Serviço CIS Azure Kubernetes |
Benchmark do Serviço Kubernetes do Azure CIS |
EKS |
disponibilidade geral |
- |
Atribuído como padrão de segurança |
Defender for Containers OU Defender CSPM |
AWS |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para Kubernetes |
Oferece descoberta de clusters Kubernetes, configurações e implementações baseadas em API, com pegada zero. |
GKE |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
GCP |
| Recursos abrangentes de inventário |
Permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos. |
GCR, GAR, GKE |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
GCP |
| Análise de trajetória de ataque |
Um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem. As varreduras revelam caminhos exploráveis que atores mal-intencionados podem usar para invadir o seu ambiente. |
GCR, GAR, GKE |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defensor CSPM |
GCP |
| Caça ao risco aprimorada |
Permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no gerenciador de segurança. |
GCR, GAR, GKE |
disponibilidade geral |
disponibilidade geral |
Requer acesso à API K8S |
Defender for Containers OU Defender CSPM |
GCP |
|
Endurecimento do plano de controlo |
Avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas. |
GKE |
disponibilidade geral |
disponibilidade geral |
Ativado com um plano |
Gratuito |
GCP |
|
Fortalecimento da carga de trabalho |
Proteja as cargas de trabalho de seus contêineres Kubernetes com recomendações de práticas recomendadas. |
GKE |
disponibilidade geral |
- |
Requer configuração automática da extensão da Política do Azure para o Azure Arc |
Gratuito |
GCP |
| Serviço CIS Azure Kubernetes |
Benchmark do Serviço Kubernetes do Azure CIS |
GKE |
disponibilidade geral |
- |
Atribuído como padrão de segurança |
Defender for Containers OU Defender CSPM |
GCP |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para Kubernetes |
Oferece descoberta de clusters Kubernetes, configurações e implementações baseadas em API, com pegada zero. |
- |
- |
- |
- |
- |
- |
| Recursos abrangentes de inventário |
Permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos. |
- |
- |
- |
- |
- |
- |
| Análise de trajetória de ataque |
Um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem. As varreduras revelam caminhos exploráveis que atores mal-intencionados podem usar para invadir o seu ambiente. |
- |
- |
- |
- |
- |
- |
| Caça ao risco aprimorada |
Permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no gerenciador de segurança. |
- |
- |
- |
- |
- |
- |
|
Endurecimento do plano de controlo |
Avalia continuamente as configurações dos seus clusters e compara-as com as iniciativas aplicadas às suas subscrições. Quando encontra configurações incorretas, o Defender for Cloud gera recomendações de segurança que estão disponíveis na página Recomendações do Defender for Cloud. As recomendações permitem-lhe investigar e corrigir problemas. |
- |
- |
- |
- |
- |
- |
|
Fortalecimento da carga de trabalho |
Proteja as cargas de trabalho de seus contêineres Kubernetes com recomendações de práticas recomendadas. |
Cluster Kubernetes habilitado com Arc |
disponibilidade geral |
- |
Requer configuração automática da extensão da Política do Azure para o Azure Arc |
Defender para contentores |
Cluster Kubernetes habilitado com Arc |
| Serviço CIS Azure Kubernetes |
Benchmark do Serviço Kubernetes do Azure CIS |
VMs habilitadas para Arc |
Preview |
- |
Atribuído como padrão de segurança |
Defender for Containers OU Defender CSPM |
Cluster Kubernetes habilitado com Arc |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Recursos abrangentes de inventário |
Permite que você explore recursos, pods, serviços, repositórios, imagens e configurações por meio do security explorer para monitorar e gerenciar facilmente seus ativos. |
Docker Hub, JFrog Artifactory |
disponibilidade geral |
disponibilidade geral |
Criação de conectores |
CSPM Básico OU Defender CSPM OU Defender para Contentores |
- |
| Análise de trajetória de ataque |
Um algoritmo baseado em gráficos que verifica o gráfico de segurança na nuvem. As varreduras revelam caminhos exploráveis que atores mal-intencionados podem usar para invadir o seu ambiente. |
Docker Hub, JFrog Artifactory |
disponibilidade geral |
disponibilidade geral |
Criação de conectores |
Defensor CSPM |
- |
| Caça ao risco aprimorada |
Permite que os administradores de segurança procurem ativamente problemas de postura em seus ativos em contêineres por meio de consultas (internas e personalizadas) e informações de segurança no gerenciador de segurança. |
Hub do Docker, JFrog |
disponibilidade geral |
disponibilidade geral |
Criação de conectores |
Defender for Containers OU Defender CSPM |
|
Recursos de proteção da cadeia de suprimentos do software de contêineres
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação fechada de imagens de contêiner em seu ambiente Kubernetes |
AKS 1.31 ou superior, Azure Container Registry (ACR) |
disponibilidade geral |
disponibilidade geral |
Requer Sensor Defender, Bloqueio de Segurança, Verificações de Segurança e Acesso ao Registo |
Defender para contenedores |
Nuvens comerciais |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação fechada de imagens de contêiner em seu ambiente Kubernetes |
EKS 1.31 ou superior, Amazon Elastic Container Registry (ECR) |
disponibilidade geral |
disponibilidade geral |
Requer Sensor Defender, Bloqueio de Segurança, Verificações de Segurança e Acesso ao Registo |
Defender para contenedores |
AWS |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação fechada de imagens de contêiner em seu ambiente Kubernetes |
GKE 1.31 ou superior, Google Artifact Registry |
disponibilidade geral |
disponibilidade geral |
Requer Sensor Defender, Bloqueio de Segurança, Verificações de Segurança e Acesso ao Registo |
Defender para contenedores |
GCP |
| Feature |
Description |
Recursos suportados |
Estado da versão Linux |
Estado de lançamento do Windows |
Método de habilitação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação fechada de imagens de contêiner em seu ambiente Kubernetes |
Clusters Kubernetes habilitados pelo Arc |
Preview |
Preview |
Requer Sensor Defender, Bloqueio de Segurança, Verificações de Segurança e Acesso ao Registo |
Defender para contenedores |
- |
Restrições de rede
| Aspect |
Details |
| Suporte para proxy de saída |
O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. Proxy de saída que espera certificados confiáveis não é suportado atualmente. |
| Clusters com restrições de IP |
Se o cluster do Kubernetes na AWS tiver restrições de IP do plano de controle habilitadas (consulte Controle de acesso ao endpoint do cluster do Amazon EKS - Amazon EKS ), a configuração de restrição de IP do plano de controle será atualizada para incluir o bloco CIDR do Microsoft Defender for Cloud. |
| Aspect |
Details |
| Suporte para proxy de saída |
O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. Proxy de saída que espera certificados confiáveis não é suportado atualmente. |
| Clusters com restrições de IP |
Se o cluster Kubernetes no GCP tiver restrições de IP do plano de controle habilitadas (consulte GKE - Adicionar redes autorizadas para acesso ao plano de controle ), a configuração de restrição de IP do plano de controle será atualizada para incluir o bloco CIDR do Microsoft Defender for Cloud. |
| Aspect |
Details |
| Suporte para proxy de saída |
O proxy de saída sem autenticação e o proxy de saída com autenticação básica são suportados. Proxy de saída que espera certificados confiáveis não é suportado atualmente. |
Sistemas operacionais de host suportados
O Defender for Containers depende do sensor Defender para várias funcionalidades. O sensor Defender é suportado apenas com Linux Kernel 5.4 e superior, nos seguintes sistemas operacionais host:
- Amazon Linux 2
- CentOS 8 (CentOS chegou ao fim de serviço a 30 de junho de 2024. Para mais informações, consulte a orientação CentOS End Of Life.)
- Debian 10
- Debian 11
- Sistema Operativo Google Otimizado para Contentores
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20,04
- Ubuntu 22,04
Garante que o teu nó Kubernetes corre num destes sistemas operativos verificados. Clusters com sistemas operativos de host não suportados não beneficiam das funcionalidades que dependem do sensor Defender.
Limitações do sensor Defender
O sensor Defender nas versões 1.28 e anteriores do AKS não suporta nós do tipo Arm64.
Próximos passos