Caution
本文提及 CentOS,一個於 2024 年 6 月 30 日終止服務的 Linux 發行版。 請根據您的使用方式進行規劃。 如需詳細資訊,請參閱 CentOS 生命週期結束指導。
這很重要
Azure 中國區域中所有適用於雲端的 Microsoft Defender 功能將在 2026 年 8 月 18 日正式淘汰。 由於即將淘汰,中國的 Azure 客戶無法再將新的訂用帳戶上線至該服務。 新的訂閱是指在 2025 年 8 月 18 日之前尚未註冊到 Microsoft Defender for Cloud 服務的任何訂閱,該日期為退役公告日期。 如需關於淘汰的詳細資訊,請參閱由世紀互聯提供的 Microsoft Azure 中的適用於雲端的 Microsoft Defender 淘汰公告。
客戶應該與 21Vianet 所營運的 Microsoft Azure 客戶代表合作,以評估此淘汰對其自身營運的影響。
本文總結了 Microsoft Defender 雲端容器功能的支援資訊。
Note
- 特定功能目前為預覽狀態。
Azure 預覽補充條款 包含適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未發行的版本) 的其他法律條款。
- Defender for Cloud 官方只支援雲端廠商所支援的 AKS、EKS 和 GKE 版本。
下表列出 Defender for Containers 為支援的雲端環境及容器登錄所提供的功能。
適用於容器的 Microsoft Defender 方案可用性
弱點評估 (VA) 功能
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 容器登錄 VA |
容器登錄中的映像 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要為 Docker Hub/JFrog 存取登錄檔1或建立連接器 |
適用於容器的Defender 或 Defender CSPM |
商業雲端
國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| 執行階段容器 VA - 以登錄掃描為基礎 |
執行來自支援之登錄的映像檔的容器 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要註冊表存取1或為 Docker Hub/JFrog 建立連接器,並且需要K8S API 存取或Defender sensor1 |
適用於容器的Defender 或 Defender CSPM |
商業雲端
國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| 執行階段容器 VA |
執行映像之容器的不依賴 VA 的登錄 |
All |
Preview |
- |
需要無代理程式機器掃描,並且需要 K8S API 存取或 Defender 感應器1 |
適用於容器的Defender 或 Defender CSPM |
商業雲端
國家雲端:Azure Government、由 21Vianet 營運的 Azure |
1國家雲端是自動啟用且無法關閉的。
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 容器登錄 VA |
容器登錄中映像的弱點評估 |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要 登錄存取 |
適用於容器的Defender 或 Defender CSPM |
AWS |
| 執行階段容器 VA - 以登錄掃描為基礎 |
執行來自支援之登錄的映像檔的容器 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
- |
需要無代理程式機器掃描,並且需要 K8S API 存取或 Defender 感應器 |
適用於容器的Defender 或 Defender CSPM |
AWS |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 容器登錄 VA |
容器登錄中映像的弱點評估 |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要 登錄存取 |
適用於容器的Defender 或 Defender CSPM |
GCP |
| 執行階段容器 VA - 以登錄掃描為基礎 |
執行來自支援之登錄的映像檔的容器 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
- |
需要無代理程式機器掃描,並且需要 K8S API 存取或 Defender 感應器 |
適用於容器的Defender 或 Defender CSPM |
GCP |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 容器登錄 VA |
容器登錄中映像的弱點評估 |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
GA |
需要 登錄存取 |
適用於容器的Defender 或 Defender CSPM |
Arc 已連線的叢集 |
| 執行階段容器 VA - 以登錄掃描為基礎 |
執行來自支援之登錄的映像檔的容器 VA |
ACR、ECR、GAR、GCR、Docker Hub、JFrog Artifactory |
GA |
- |
需要無代理程式機器掃描,並且需要 K8S API 存取或 Defender 感應器 |
適用於容器的Defender 或 Defender CSPM |
Arc 已連線的叢集 |
弱點評定的登錄和映像支援
| Aspect |
Details |
| 登錄檔和鏡像 |
Supported
* Docker V2 格式的容器映像
* 具有 開放式容器計劃 (OCI) 映像格式規格的 映像
Unsupported
• 目前不支援極簡映像,例如 Docker scratch (英文) 映像
* 公用存放庫
• 資訊清單
|
| 作業系統 |
Supported
* Alpine Linux 3.12-3.21
紅帽企業版 Linux 6-9
* CentOS 6-9 (CentOS 截至 2024 年 6 月 30 日終止服務。如需詳細資訊,請參閱 CentOS 生命週期結束指引。
* 甲骨文Linux 6-9
* Amazon Linux 1,2
* openSUSE Leap、openSUSE Tumbleweed
* SUSE 企業 Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless(基於 Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
* Windows Server 2016、2019、2022
* Chainguard 作業系統/Wolfi 作業系統
* Alma Linux 8.4 或更新版本
* Rocky Linux 8.7 或更新版本 |
語言專屬套件
|
Supported
* Python
* Node.js
* PHP
*紅寶石
*銹
* .NET
*爪哇
* Go |
運行時間保護功能
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 控制平面偵測 |
根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 |
AKS |
GA |
GA |
已使用方案啟用 |
適用於容器的Defender |
商業雲端 國家雲端:由 21Vianet 營運的 Azure Government、Azure |
| 工作負載偵測 |
監視容器化工作負載是否有威脅,並提供可疑活動的警示 |
AKS |
GA |
- |
需要 Defender 感測器 |
適用於容器的Defender |
商業雲端和國家雲端:由 21Vianet 營運的 Azure Government、Azure |
| 二元漂移偵測 |
從容器映像偵測運行時間容器的二進位檔 |
AKS |
GA |
- |
需要 Defender 感測器 |
適用於容器的Defender |
商業雲端 |
| DNS 偵測 |
DNS 偵測功能 |
AKS |
Preview |
|
需要透過 Helm 的 Defender 感應器 |
適用於容器的Defender |
商業雲端 |
| XDR 中的進階搜捕 |
檢視Microsoft XDR 中的叢集事件和警示 |
AKS |
預覽 - 目前支援稽核記錄和處理事件 |
預覽 - 目前支援稽核記錄 |
需要 Defender 感測器 |
適用於容器的Defender |
商業雲端和國家雲端:由 21Vianet 營運的 Azure Government、Azure |
| XDR 中的回應動作 |
在 Microsoft XDR 中提供自動化和手動補救 |
AKS |
Preview |
- |
需要 Defender 感應器和 K8S 存取 API |
適用於容器的Defender |
商業雲端和國家雲端:由 21Vianet 營運的 Azure Government、Azure |
| 惡意程式碼偵測 |
偵測惡意代碼 |
AKS 節點 |
GA |
GA |
需要無代理程式機器掃描 |
適用於容器的Defender 或 適用於伺服器的Defender方案2 |
商業雲端 |
Azure 中 Kubernetes 運行時威脅防護的發行版和配置
1 任何由 Cloud Native Computing Foundation(CNCF) 認證的 Kubernetes 叢集都應被支援,但只有指定的叢集會在 Azure 上進行測試。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
Note
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 控制平面偵測 |
根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 |
EKS |
GA |
GA |
已使用方案啟用 |
適用於容器的Defender |
AWS |
| 工作負載偵測 |
監視容器化工作負載是否有威脅,並提供可疑活動的警示 |
EKS |
GA |
- |
需要 Defender 感測器 |
適用於容器的Defender |
AWS |
| 二元漂移偵測 |
從容器映像偵測運行時間容器的二進位檔 |
EKS |
GA |
- |
需要 Defender 感測器 |
適用於容器的Defender |
AWS |
| DNS 偵測 |
DNS 偵測功能 |
EKS |
Preview |
|
需要透過 Helm 的 Defender 感應器 |
適用於容器的Defender |
AWS |
| XDR 中的進階搜捕 |
檢視Microsoft XDR 中的叢集事件和警示 |
EKS |
預覽 - 目前支援稽核記錄和處理事件 |
預覽 - 目前支援稽核記錄 |
需要 Defender 感測器 |
適用於容器的Defender |
AWS |
| XDR 中的回應動作 |
在 Microsoft XDR 中提供自動化和手動補救 |
EKS |
Preview |
- |
需要 Defender 感應器和 K8S 存取 API |
適用於容器的Defender |
AWS |
| 惡意程式碼偵測 |
偵測惡意代碼 |
- |
- |
- |
- |
- |
- |
Kubernetes 發行版與配置支援 AWS 執行時威脅防護
1 任何經 Cloud Native Computing Foundation(CNCF)認證的 Kubernetes 叢集都應被支援,但僅測試指定的叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
Note
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 控制平面偵測 |
根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 |
GKE |
GA |
GA |
已使用方案啟用 |
適用於容器的Defender |
GCP |
| 工作負載偵測 |
監視容器化工作負載是否有威脅,並提供可疑活動的警示 |
GKE |
GA |
- |
需要 Defender 感測器 |
適用於容器的Defender |
GCP |
| 二元漂移偵測 |
從容器映像偵測運行時間容器的二進位檔 |
GKE |
GA |
- |
需要 Defender 感測器 |
適用於容器的Defender |
GCP |
| DNS 偵測 |
DNS 偵測功能 |
GKE |
Preview |
|
需要透過 Helm 的 Defender 感應器 |
適用於容器的Defender |
GCP |
| XDR 中的進階搜捕 |
檢視Microsoft XDR 中的叢集事件和警示 |
GKE |
預覽 - 目前支援稽核記錄和處理事件 |
預覽 - 目前支援稽核記錄 |
需要 Defender 感測器 |
適用於容器的Defender |
GCP |
| XDR 中的回應動作 |
在 Microsoft XDR 中提供自動化和手動補救 |
GKE |
Preview |
- |
需要 Defender 感應器和 K8S 存取 API |
適用於容器的Defender |
GCP |
| 惡意程式碼偵測 |
偵測惡意代碼 |
- |
- |
- |
- |
- |
- |
Kubernetes 發行版與配置支援 GCP 中的執行時威脅防護
1 任何經 Cloud Native Computing Foundation(CNCF)認證的 Kubernetes 叢集都應被支援,但僅測試指定的叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
Note
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 控制平面偵測 |
根據 Kubernetes 稽核線索偵測 Kubernetes 的可疑活動 |
已啟用 Arc 的 K8s 叢集 |
Preview |
Preview |
需要 Defender 感測器 |
適用於容器的Defender |
|
| 工作負載偵測 |
監視容器化工作負載是否有威脅,並提供可疑活動的警示 |
已啟用 Arc 的 Kubernetes 叢集 |
Preview |
- |
需要 Defender 感測器 |
適用於容器的Defender |
|
| 二元漂移偵測 |
從容器映像偵測運行時間容器的二進位檔 |
|
- |
- |
- |
- |
- |
| XDR 中的進階搜捕 |
檢視Microsoft XDR 中的叢集事件和警示 |
已啟用 Arc 的 Kubernetes 叢集 |
預覽 - 目前支援稽核記錄和處理事件 |
預覽 - 目前支援稽核記錄和處理事件 |
需要 Defender 感測器 |
適用於容器的Defender |
|
| XDR 中的回應動作 |
在 Microsoft XDR 中提供自動化和手動補救 |
- |
- |
- |
- |
- |
- |
| 惡意程式碼偵測 |
偵測惡意代碼 |
- |
- |
- |
- |
- |
- |
在 Arc 支援的 Kubernetes 中,執行階段威脅保護的 Kubernetes 分發與設定。
1 任何經 Cloud Native Computing Foundation(CNCF)認證的 Kubernetes 叢集都應被支援,但僅測試指定的叢集。
2 若要取得適用於容器的 Microsoft Defender 來保護環境,您必須將已啟用 Azure Arc 的 Kubernetes 上線,並啟用適用於容器的 Defender 作為 Arc 延伸模組。
Note
如需 Kuberenetes 工作負載保護的其他需求,請參閱現有的限制。
安全姿態管理功能
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
|
適用於 Kubernetes 的無代理程式探索1 (部分內容可能是機器或 AI 翻譯) |
提供不留痕跡的 API 為基礎的 Kubernetes 叢集及其配置與部署的發現。 |
AKS |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
Azure 商業雲端 |
| 全面性的庫存管理功能 |
可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 |
ACR、AKS |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
Azure 商業雲端 |
| 攻擊路徑分析 |
以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會揭露惡意行為者可能利用的可利用路徑入侵你的環境。 |
ACR、AKS |
GA |
GA |
需要 K8S API 存取 |
Defender CSPM |
Azure 商業雲端 |
| 增強的風險搜捕 |
可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 |
ACR、AKS |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
Azure 商業雲端 |
|
控制平面強化1 |
持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當 Defender for Cloud 發現設定錯誤時,會在其建議頁面產生安全性建議。 建議可讓您調查和補救問題。 |
ACR、AKS |
GA |
GA |
已使用方案啟用 |
免費 |
商業雲端
國家雲端:Azure Government、由 21Vianet 營運的 Azure |
|
工作負載強化1 |
使用最佳做法建議來保護 Kubernetes 容器的工作負載。 |
AKS |
GA |
- |
需要 Azure 原則 |
免費 |
商業雲端
國家雲端:Azure Government、由 21Vianet 營運的 Azure |
| CIS Azure Kubernetes 服務 |
CIS Azure Kubernetes Service 效能評定 |
AKS |
GA |
- |
指派為安全性標準 |
適用於容器的 Defender 或 Defender CSPM |
商業雲端
|
1 在叢集資源層級啟用適用於容器的Defender時,可以針對個別叢集啟用此功能。
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
|
Kubernetes 的無代理程式探索 |
提供不留痕跡的 API 為基礎的 Kubernetes 叢集及其配置與部署的發現。 |
EKS |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
Azure 商業雲端 |
| 全面性的庫存管理功能 |
可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 |
ECR、EKS |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
AWS |
| 攻擊路徑分析 |
以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會揭露惡意行為者可能利用的可利用路徑入侵你的環境。 |
ECR、EKS |
GA |
GA |
需要 K8S API 存取 |
Defender CSPM (需要啟用適用於 Kubernetes 的無代理程式探索) |
AWS |
| 增強的風險搜捕 |
可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 |
ECR、EKS |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
AWS |
|
強化控制平面 |
持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當 Defender for Cloud 發現設定錯誤時,會在其建議頁面產生安全性建議。 建議可讓您調查和補救問題。 |
- |
- |
- |
- |
- |
- |
|
工作負載強化 |
使用最佳做法建議來保護 Kubernetes 容器的工作負載。 |
EKS |
GA |
- |
需要適用於 Azure Arc 的自動佈建 Azure 原則擴充功能 |
免費 |
AWS |
| CIS Azure Kubernetes 服務 |
CIS Azure Kubernetes Service 效能評定 |
EKS |
GA |
- |
指派為安全性標準 |
適用於容器的 Defender 或 Defender CSPM |
AWS |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
|
Kubernetes 的無代理程式探索 |
提供不留痕跡的 API 為基礎的 Kubernetes 叢集及其配置與部署的發現。 |
GKE |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
GCP |
| 全面性的庫存管理功能 |
可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 |
GCR、GAR、GKE |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
GCP |
| 攻擊路徑分析 |
以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會揭露惡意行為者可能利用的可利用路徑入侵你的環境。 |
GCR、GAR、GKE |
GA |
GA |
需要 K8S API 存取 |
Defender CSPM |
GCP |
| 增強的風險搜捕 |
可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 |
GCR、GAR、GKE |
GA |
GA |
需要 K8S API 存取 |
適用於容器的 Defender 或 Defender CSPM |
GCP |
|
強化控制平面 |
持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當 Defender for Cloud 發現設定錯誤時,會在其建議頁面產生安全性建議。 建議可讓您調查和補救問題。 |
GKE |
GA |
GA |
已使用方案啟用 |
免費 |
GCP |
|
工作負載強化 |
使用最佳做法建議來保護 Kubernetes 容器的工作負載。 |
GKE |
GA |
- |
需要適用於 Azure Arc 的自動佈建 Azure 原則擴充功能 |
免費 |
GCP |
| CIS Azure Kubernetes 服務 |
CIS Azure Kubernetes Service 效能評定 |
GKE |
GA |
- |
指派為安全性標準 |
適用於容器的 Defender 或 Defender CSPM |
GCP |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
|
Kubernetes 的無代理程式探索 |
提供不留痕跡的 API 為基礎的 Kubernetes 叢集及其配置與部署的發現。 |
- |
- |
- |
- |
- |
- |
| 全面性的庫存管理功能 |
可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 |
- |
- |
- |
- |
- |
- |
| 攻擊路徑分析 |
以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會揭露惡意行為者可能利用的可利用路徑入侵你的環境。 |
- |
- |
- |
- |
- |
- |
| 增強的風險搜捕 |
可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 |
- |
- |
- |
- |
- |
- |
|
強化控制平面 |
持續評定叢集的設定,並將其與套用至訂用帳戶的方案進行比較。 當 Defender for Cloud 發現設定錯誤時,會在其建議頁面產生安全性建議。 建議可讓您調查和補救問題。 |
- |
- |
- |
- |
- |
- |
|
工作負載強化 |
使用最佳做法建議來保護 Kubernetes 容器的工作負載。 |
已啟用 Arc 的 Kubernetes 叢集 |
GA |
- |
需要適用於 Azure Arc 的自動佈建 Azure 原則擴充功能 |
適用於容器的 Defender |
已啟用 Arc 的 Kubernetes 叢集 |
| CIS Azure Kubernetes 服務 |
CIS Azure Kubernetes Service 效能評定 |
已啟用 Arc 的 VM |
Preview |
- |
指派為安全性標準 |
適用於容器的 Defender 或 Defender CSPM |
已啟用 Arc 的 Kubernetes 叢集 |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 全面性的庫存管理功能 |
可讓您透過安全性總管探索資源、Pod、服務、存放庫、映像和組態,以輕鬆監視和管理您的資產。 |
Docker Hub、JFrog Artifactory |
GA |
GA |
連接器建立 |
基礎 CSPM 或 Defender CSPM 或適用於容器的 Defender |
- |
| 攻擊路徑分析 |
以圖表為基礎的演算法,可掃描雲端安全性圖表。 掃描會揭露惡意行為者可能利用的可利用路徑入侵你的環境。 |
Docker Hub、JFrog Artifactory |
GA |
GA |
連接器建立 |
Defender CSPM |
- |
| 增強的風險搜捕 |
可讓安全性系統管理員透過安全性總管中的查詢 (內建和自訂) 和安全性見解,主動搜捕容器化資產中的狀態問題。 |
Docker Hub、JFrog |
GA |
GA |
連接器建立 |
適用於容器的 Defender 或 Defender CSPM |
|
容器軟體供應鏈保護功能
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 受限部署 |
以受限部署方式將容器映像部署至 Kubernetes 環境 |
AKS 1.31 或更高版本,Azure Container Registry(ACR) |
GA |
GA |
需要防禦 感測器、 安全閘控、 安全發現及 登錄存取 |
適用於容器的Defender |
商業雲端 |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 受限部署 |
以受限部署方式將容器映像部署至 Kubernetes 環境 |
EKS 1.31 或更高版本,Amazon 彈性容器登錄檔(ECR) |
GA |
GA |
需要防禦 感測器、 安全閘控、 安全發現及 登錄存取 |
適用於容器的Defender |
AWS |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 受限部署 |
以受限部署方式將容器映像部署至 Kubernetes 環境 |
GKE 1.31 或更高版本,Google Artifact Registry |
GA |
GA |
需要防禦 感測器、 安全閘控、 安全發現及 登錄存取 |
適用於容器的Defender |
GCP |
| Feature |
Description |
支援的資源 |
Linux 版本狀態 |
Windows 版本狀態 |
啟用方法 |
Plans |
雲端可用性 |
| 受限部署 |
以受限部署方式將容器映像部署至 Kubernetes 環境 |
已啟用 Arc 的 Kubernetes 叢集 |
Preview |
Preview |
需要防禦 感測器、 安全閘控、 安全發現及 登錄存取 |
適用於容器的Defender |
- |
網路限制
| Aspect |
Details |
| 輸出 Proxy 支援 |
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援需要受信任憑證的向外代理。 |
| 具有IP限制的叢集 |
如果您的 AWS 中的 Kubernetes 叢集已啟用控制平面 IP 限制(請參閱 Amazon EKS 叢集端點存取控制 - Amazon EKS ),控制平面的 IP 限制設定會更新為包含 適用於雲端的 Microsoft Defender CIDR 區塊。 |
| Aspect |
Details |
| 輸出 Proxy 支援 |
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援需要受信任憑證的向外代理。 |
| 具有IP限制的叢集 |
如果您的 GCP 中的 Kubernetes 叢集已啟用控制平面 IP 限制(請參閱 GKE - 新增用於控制平面存取的授權網路 ),則會更新控制平面的 IP 限制設定,以包含適用於雲端的 Microsoft Defender CIDR 區塊。 |
| Aspect |
Details |
| 輸出 Proxy 支援 |
支援沒有驗證的輸出 Proxy 和具有基本驗證的輸出 Proxy。 目前不支援需要受信任憑證的向外代理。 |
支援的主機作業系統
適用於容器的 Defender 有數項功能依賴 Defender 感應器。 只有在下列主機作系統上,Linux Kernel 5.4 和更新版本才支援 Defender 感測器:
- 亞馬遜 Linux 2
- CentOS 8(CentOS 於 2024 年 6 月 30 日結束服務。更多資訊請參閱 CentOS 終止服務指引。)
- Debian 10
- Debian 11 版
- Google Container-Optimized OS(Google 容器最佳化作業系統)
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat 企業版 Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04 版本
確保你的 Kubernetes 節點運行在這些已驗證的作業系統上。 主機作業系統不支援的叢集無法享有依賴 Defender 感測器的功能優勢。
Defender 感應器限制
AKS 1.28 及更早版本的 Defender 感測器不支援 Arm64 節點。
後續步驟