Caution
本文引用了 CentOS,这是 2024 年 6 月 30 日服务结束的 Linux 分发版。 请根据您的使用情况进行规划。 有关详细信息,请参阅 CentOS 生命周期结束指南。
重要
所有Microsoft Defender for Cloud 功能将于 2026 年 8 月 18 日正式停用在中国 Azure 区域。 由于即将停用,Azure 在中国的客户将无法再将新订阅加入该服务。 尚未在 2025 年 8 月 18 日之前加入 Microsoft Defender for Cloud 服务的订阅,即视为新的订阅;该日期为功能停用的公告日期。 有关停用的详细信息,请参阅由世纪互联运营的 Microsoft Azure 中的 Microsoft Defender for Cloud 弃用公告。
客户应与世纪互联运营的 Microsoft Azure 账户代表合作,评估此停用对其自身运营的影响。
本文汇总了 Microsoft Defender for Cloud 中容器功能的支持信息。
Note
- 具体功能正在预览中。
Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
- Defender for Cloud 正式支持云供应商支持的 AKS、EKS 和 GKE 版本。
下表列出了 Defender for Containers 为支持的云环境和容器注册表提供的功能。
Microsoft Defender for Containers 计划可用性
漏洞评估 (VA) 功能
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 容器注册表 VA |
容器注册表中映像的 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要注册表访问1或为 Docker Hub/JFrog 创建连接器。 |
Defender for Containers 或 Defender CSPM |
商业云
国家云:Azure 政府、世纪互联运营的 Azure |
| 运行时容器 VA - 基于注册表扫描 |
从支持的注册表运行映像的容器的 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要为 Docker Hub/JFrog 创建注册表访问权限1 或连接器,以及 K8S API 访问权限或 Defender 传感器1 |
Defender for Containers 或 Defender CSPM |
商业云
国家云:Azure 政府、世纪互联运营的 Azure |
| 运行时容器 VA |
运行映像的容器与注册表无关的 VA |
All |
Preview |
- |
需要为计算机配置无代理扫描,以及 K8S API 访问权限或 Defender 传感器 1 |
Defender for Containers 或 Defender CSPM |
商业云
国家云:Azure 政府、世纪互联运营的 Azure |
1国家/地区云会自动启用,无法禁用。
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 容器注册表 VA |
容器注册表中映像的漏洞评估 |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要注册表访问权限 |
Defender for Containers 或 Defender CSPM |
AWS |
| 运行时容器 VA - 基于注册表扫描 |
从支持的注册表运行映像的容器的 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
- |
需要为计算机配置无代理扫描,以及 K8S API 访问权限或 Defender 传感器 |
Defender for Containers 或 Defender CSPM |
AWS |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 容器注册表 VA |
容器注册表中映像的漏洞评估 |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要注册表访问权限 |
Defender for Containers 或 Defender CSPM |
GCP |
| 运行时容器 VA - 基于注册表扫描 |
从支持的注册表运行映像的容器的 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
- |
需要为计算机配置无代理扫描,以及 K8S API 访问权限或 Defender 传感器 |
Defender for Containers 或 Defender CSPM |
GCP |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 容器注册表 VA |
容器注册表中映像的漏洞评估 |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要注册表访问权限 |
Defender for Containers 或 Defender CSPM |
已连接 Arc 的群集 |
| 运行时容器 VA - 基于注册表扫描 |
从支持的注册表运行映像的容器的 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
- |
需要为计算机配置无代理扫描,以及 K8S API 访问权限或 Defender 传感器 |
Defender for Containers 或 Defender CSPM |
已连接 Arc 的群集 |
注册表和映像对漏洞评估的支持
| Aspect |
Details |
| 注册表和映像 |
Supported
* Docker V2 格式的容器映像
* 包含开放容器计划 (OCI) 映像格式规范的映像
Unsupported
* 超级简单的映像(例如 Docker 暂存映像)目前不受支持
* 公共存储库
* 清单列表
|
| 操作系统 |
Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9(自 2024 年 6 月 30 日起,CentOS 已终止服务)。有关详细信息,请参阅 CentOS 终止服务指导。)
* Oracle Linux 6-9
* Amazon Linux 1、2
* openSUSE Leap、openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless(基于 Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016、2019、2022
* Chainguard OS/Wolfi OS
* Alma Linux 8.4 或更高版本
* Rocky Linux 8.7 或更高版本 |
特定于语言的包
|
Supported
* Python
* Node.js
* PHP
* Ruby
* Rust
* .NET
*爪哇岛
* Go |
运行时保护功能
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 控制平面检测 |
基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 |
AKS |
GA |
GA |
使用计划启用 |
容器防护 |
商业云/国家云:Azure 政府云、由世纪互联运营的 Azure |
| 工作负荷检测 |
监视容器化工作负载是否存在威胁,并向可疑活动发出警报 |
AKS |
GA |
- |
需要 Defender 传感器 |
容器防护 |
商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| 二进制偏移检测 |
从容器映像检测运行时容器的二进制文件 |
AKS |
GA |
- |
需要 Defender 传感器 |
容器防护 |
商业云 |
| DNS 检测 |
DNS 检测功能 |
AKS |
Preview |
|
需要通过 Helm 的 Defender 传感器 |
容器防护 |
商业云 |
| XDR 中的高级搜寻 |
在 Microsoft XDR 中查看群集事件和警报 |
AKS |
预览版 - 目前支持审核日志和进程事件 |
预览版 - 当前支持审核日志 |
需要 Defender 传感器 |
容器防护 |
商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| XDR 中的响应动作 |
在 Microsoft XDR 中提供自动和手动的修复措施 |
AKS |
Preview |
- |
需要 Defender 传感器 和 K8S 访问 API |
容器防护 |
商业云和国家云:Azure 政府版、世纪互联运营的 Azure |
| 恶意软件检测 |
检测恶意软件 |
AKS 节点 |
GA |
GA |
需要为计算机配置无代理扫描 |
Defender for Containers 或 Defender for Servers 计划 2 |
商业云 |
Azure 中用于运行时威胁防护的 Kubernetes 发行版及配置
应 支持任何经 Cloud Native Computing Foundation (CNCF) 认证的 Kubernetes 群集,但仅在 Azure 上测试指定的群集。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
Note
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 控制平面检测 |
基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 |
EKS |
GA |
GA |
使用计划启用 |
容器防护 |
AWS |
| 工作负荷检测 |
监视容器化工作负载是否存在威胁,并向可疑活动发出警报 |
EKS |
GA |
- |
需要 Defender 传感器 |
容器防护 |
AWS |
| 二进制偏移检测 |
从容器映像检测运行时容器的二进制文件 |
EKS |
GA |
- |
需要 Defender 传感器 |
容器防护 |
AWS |
| DNS 检测 |
DNS 检测功能 |
EKS |
Preview |
|
需要通过 Helm 的 Defender 传感器 |
容器防护程序 |
AWS |
| XDR 中的高级搜寻 |
在 Microsoft XDR 中查看群集事件和警报 |
EKS |
预览版 - 目前支持审核日志和进程事件 |
预览版 - 当前支持审核日志 |
需要 Defender 传感器 |
容器防护 |
AWS |
| XDR 中的响应动作 |
在 Microsoft XDR 中提供自动和手动的修复措施 |
EKS |
Preview |
- |
需要 Defender 传感器 和 K8S 访问 API |
容器防护 |
AWS |
| 恶意软件检测 |
检测恶意软件 |
- |
- |
- |
- |
- |
- |
Kubernetes 发行版和配置支持 AWS 中的运行时威胁防护
任何 经 Cloud Native Computing Foundation(CNCF)认证的 Kubernetes 集群都应受到支持,但仅对指定的集群进行了测试。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
Note
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 控制平面检测 |
基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 |
GKE |
GA |
GA |
使用计划启用 |
容器防护 |
GCP |
| 工作负荷检测 |
监视容器化工作负载是否存在威胁,并向可疑活动发出警报 |
GKE |
GA |
- |
需要 Defender 传感器 |
容器防护 |
GCP |
| 二进制偏移检测 |
从容器映像检测运行时容器的二进制文件 |
GKE |
GA |
- |
需要 Defender 传感器 |
容器防护 |
GCP |
| DNS 检测 |
DNS 检测功能 |
GKE |
Preview |
|
需要通过 Helm 的 Defender 传感器 |
容器防护程序 |
GCP |
| XDR 中的高级搜寻 |
在 Microsoft XDR 中查看群集事件和警报 |
GKE |
预览版 - 目前支持审核日志和进程事件 |
预览版 - 当前支持审核日志 |
需要 Defender 传感器 |
容器防护 |
GCP |
| XDR 中的响应动作 |
在 Microsoft XDR 中提供自动和手动的修复措施 |
GKE |
Preview |
- |
需要 Defender 传感器 和 K8S 访问 API |
容器防护 |
GCP |
| 恶意软件检测 |
检测恶意软件 |
- |
- |
- |
- |
- |
- |
在 GCP 中支持运行时威胁防护的 Kubernetes 发行版和配置
任何 经 Cloud Native Computing Foundation(CNCF)认证的 Kubernetes 集群都应受到支持,但仅对指定的集群进行了测试。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
Note
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 控制平面检测 |
基于 Kubernetes 审核线索检测 Kubernetes 的可疑活动 |
已启用 Arc 的 K8s 群集 |
Preview |
Preview |
需要 Defender 传感器 |
容器防护 |
|
| 工作负荷检测 |
监视容器化工作负载是否存在威胁,并向可疑活动发出警报 |
已启用 Arc 的 Kubernetes 群集 |
Preview |
- |
需要 Defender 传感器 |
容器防护 |
|
| 二进制偏移检测 |
从容器映像检测运行时容器的二进制文件 |
|
- |
- |
- |
- |
- |
| XDR 中的高级搜寻 |
在 Microsoft XDR 中查看群集事件和警报 |
已启用 Arc 的 Kubernetes 群集 |
预览版 - 目前支持审核日志和进程事件 |
预览版 - 目前支持审核日志和进程事件 |
需要 Defender 传感器 |
容器防护 |
|
| XDR 中的响应动作 |
在 Microsoft XDR 中提供自动和手动的修复措施 |
- |
- |
- |
- |
- |
- |
| 恶意软件检测 |
检测恶意软件 |
- |
- |
- |
- |
- |
- |
在启用 Arc 的 Kubernetes中,用于运行时威胁防护的 Kubernetes 发行版和配置
任何 经 Cloud Native Computing Foundation(CNCF)认证的 Kubernetes 集群都应受到支持,但仅对指定的集群进行了测试。
2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。
Note
有关 Kubernetes 工作负荷保护的其他要求,请参阅现有限制。
安全态势管理功能
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
|
Kubernetes 的无代理发现1 |
提供对 Kubernetes 群集及其配置和部署的零占用、基于 API 的发现。 |
AKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
Azure 商业云 |
| 全面的清单功能 |
使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。 |
ACR、AKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
Azure 商业云 |
| 攻击路径分析 |
基于图的算法,用于扫描云安全图。 扫描会暴露恶意行为者可能用来攻破您环境的可利用路径。 |
ACR、AKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender CSPM |
Azure 商业云 |
| 加强的风险检测 |
使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。 |
ACR、AKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
Azure 商业云 |
|
控制平面强化1 |
持续评估群集的配置,并将其与应用于订阅的举措进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 |
ACR、AKS |
GA |
GA |
使用计划启用 |
免费 |
商业云
国家云:Azure 政府、世纪互联运营的 Azure |
|
工作负荷强化1 |
使用最佳做法建议保护 Kubernetes 容器的工作负荷。 |
AKS |
GA |
- |
需要 Azure Policy |
免费 |
商业云
国家云:Azure 政府、世纪互联运营的 Azure |
| CIS Azure Kubernetes 服务 |
CIS Azure Kubernetes 服务基准 |
AKS |
GA |
- |
被指定为安全标准 |
Defender for Containers 或 Defender CSPM |
商业云
|
1 在群集资源级别启用 Defender for Containers 时,可以为单个群集启用此功能。
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
|
Kubernetes 的无代理发现 |
提供对 Kubernetes 群集及其配置和部署的零占用、基于 API 的发现。 |
EKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
Azure 商业云 |
| 全面的清单功能 |
使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。 |
ECR、EKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
AWS |
| 攻击路径分析 |
基于图的算法,用于扫描云安全图。 扫描会暴露恶意行为者可能用来攻破您环境的可利用路径。 |
ECR、EKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender CSPM(需要启用 Kubernetes 的无代理发现) |
AWS |
| 加强的风险检测 |
使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。 |
ECR、EKS |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
AWS |
|
控制平面强化 |
持续评估群集的配置,并将其与应用于订阅的举措进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 |
- |
- |
- |
- |
- |
- |
|
工作负荷强化 |
使用最佳做法建议保护 Kubernetes 容器的工作负荷。 |
EKS |
GA |
- |
需要 Azure Arc 的自动预配 Azure Policy 扩展 |
免费 |
AWS |
| CIS Azure Kubernetes 服务 |
CIS Azure Kubernetes 服务基准 |
EKS |
GA |
- |
被指定为安全标准 |
Defender for Containers 或 Defender CSPM |
AWS |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
|
Kubernetes 的无代理发现 |
提供对 Kubernetes 群集及其配置和部署的零占用、基于 API 的发现。 |
GKE |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
GCP |
| 全面的清单功能 |
使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。 |
GCR、GAR、GKE |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
GCP |
| 攻击路径分析 |
基于图的算法,用于扫描云安全图。 扫描会暴露恶意行为者可能用来攻破您环境的可利用路径。 |
GCR、GAR、GKE |
GA |
GA |
需要 K8S API 访问权限 |
Defender CSPM |
GCP |
| 加强的风险检测 |
使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。 |
GCR、GAR、GKE |
GA |
GA |
需要 K8S API 访问权限 |
Defender for Containers 或 Defender CSPM |
GCP |
|
控制平面强化 |
持续评估群集的配置,并将其与应用于订阅的举措进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 |
GKE |
GA |
GA |
使用计划激活 |
免费 |
GCP |
|
工作负荷强化 |
使用最佳做法建议保护 Kubernetes 容器的工作负荷。 |
GKE |
GA |
- |
需要 Azure Arc 的自动预配 Azure Policy 扩展 |
免费 |
GCP |
| CIS Azure Kubernetes 服务 |
CIS Azure Kubernetes 服务基准 |
GKE |
GA |
- |
被指定为安全标准 |
Defender for Containers 或 Defender CSPM |
GCP |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
|
Kubernetes 的无代理发现 |
提供对 Kubernetes 群集及其配置和部署的零占用、基于 API 的发现。 |
- |
- |
- |
- |
- |
- |
| 全面的清单功能 |
使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。 |
- |
- |
- |
- |
- |
- |
| 攻击路径分析 |
基于图的算法,用于扫描云安全图。 扫描会暴露恶意行为者可能用来攻破您环境的可利用路径。 |
- |
- |
- |
- |
- |
- |
| 加强的风险检测 |
使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。 |
- |
- |
- |
- |
- |
- |
|
控制平面强化 |
持续评估群集的配置,并将其与应用于订阅的举措进行比较。 当发现错误配置时,Defender for Cloud 会生成安全建议,可以在 Defender for Cloud 的建议页上查看这些建议。 可以根据这些建议调查并修正问题。 |
- |
- |
- |
- |
- |
- |
|
工作负荷强化 |
使用最佳做法建议保护 Kubernetes 容器的工作负荷。 |
已启用 Arc 的 Kubernetes 群集 |
GA |
- |
需要 Azure Arc 的自动预配 Azure Policy 扩展 |
Defender for Containers |
已启用 Arc 的 Kubernetes 群集 |
| CIS Azure Kubernetes 服务 |
CIS Azure Kubernetes 服务基准 |
已启用 Arc 的 VM |
Preview |
- |
被指定为安全标准 |
Defender for Containers 或 Defender CSPM |
已启用 Arc 的 Kubernetes 群集 |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 全面的清单功能 |
使你能够通过安全资源管理器浏览资源、Pod、服务、存储库、映像和配置,从而轻松监视和管理资产。 |
Docker Hub、JFrog Artifactory |
GA |
GA |
连接器创建 |
基础 CSPM、Defender CSPM 或 Defender for Containers |
- |
| 攻击路径分析 |
基于图的算法,用于扫描云安全图。 扫描会暴露恶意行为者可能用来攻破您环境的可利用路径。 |
Docker Hub、JFrog Artifactory |
GA |
GA |
连接器创建 |
Defender CSPM |
- |
| 加强的风险检测 |
使安全管理员能够通过查询(内置和自定义)以及安全资源管理器中的安全见解主动搜寻容器化资产中的状况问题。 |
Docker Hub、JFrog |
GA |
GA |
连接器创建 |
Defender for Containers 或 Defender CSPM |
|
容器软件供应链保护功能
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 封闭式部署 |
以受控方式将容器映像部署到 Kubernetes 环境 |
AKS 1.31 或更高版本,Azure 容器注册表(ACR) |
GA |
GA |
需要 Defender 传感器、 安全门控、 安全检出和 注册表访问 |
容器防护 |
商业云 |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 封闭式部署 |
以受控方式将容器映像部署到 Kubernetes 环境 |
EKS 1.31 或更高版本、Amazon 弹性容器注册表(ECR) |
GA |
GA |
需要 Defender 传感器、 安全门控、 安全检出和 注册表访问 |
容器防护 |
AWS |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 封闭式部署 |
以受控方式将容器映像部署到 Kubernetes 环境 |
GKE 1.31 或更高版本、Google Artifact Registry |
GA |
GA |
需要 Defender 传感器、 安全门控、 安全检出和 注册表访问 |
容器防护 |
GCP |
| Feature |
Description |
支持的资源 |
Linux 版本状态 |
Windows 版本状态 |
赋能方法 |
Plans |
云可用性 |
| 封闭式部署 |
以受控方式将容器映像部署到 Kubernetes 环境 |
已启用 Arc 的 Kubernetes 群集 |
Preview |
Preview |
需要 Defender 传感器、 安全门控、 安全检出和 注册表访问 |
容器防护 |
- |
网络限制
| Aspect |
Details |
| 出站代理支持 |
支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。 |
| 具有 IP 限制的群集 |
如果 AWS 中的 Kubernetes 群集启用了控制平面 IP 限制(请参阅 Amazon EKS 群集终结点访问控制 - Amazon EKS),则控制平面的 IP 限制配置会更新为包含 Microsoft Defender for Cloud 的 CIDR 块。 |
| Aspect |
Details |
| 出站代理支持 |
支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。 |
| 具有 IP 限制的群集 |
如果 GCP 中的 Kubernetes 群集启用了控制平面 IP 限制(请参阅 GKE - 添加用于控制平面访问的授权网络),则控制平面的 IP 限制配置将更新为包含 Microsoft Defender for Cloud 的 CIDR 块。 |
| Aspect |
Details |
| 出站代理支持 |
支持无身份验证的出站代理和有基本身份验证的出站代理。 目前不支持需要受信任证书的出站代理。 |
支持的主机操作系统
Defender for Containers 依赖于 Defender 传感器来实现多项功能。 在以下主机操作系统上,仅在 Linux 内核 5.4 及以上版本支持 Defender 传感器:
- Amazon Linux 2
- CentOS 8(CentOS 于 2024 年 6 月 30 日终止服务。有关详细信息,请参阅 CentOS 生命周期指南。
- Debian 10
- Debian 11
- Google 容器优化 OS
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
确保 Kubernetes 节点在其中一个已验证的作系统上运行。 具有不受支持的主机操作系统的群集无法获得依赖于 Defender 传感器的功能的优势。
Defender 传感器限制
AKS 版本 1.28 和早期版本中的 Defender 传感器不支持 Arm64 节点。
后续步骤