주의
이 문서에서는 2024년 6월 30일 현재 서비스 종료인 Linux 배포판인 CentOS를 참조합니다. 이에 따라 사용 및 계획을 고려하세요. 자세한 내용은 CentOS 수명 종료 지침을 참조하세요.
이 문서에는 클라우드용 Microsoft Defender의 컨테이너 기능에 대한 지원 정보가 요약되어 있습니다.
참고
- 특정 기능은 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 법률 용어가 포함되어 있습니다.
- 클라우드 공급업체에서 지원하는 AKS, EKS 및 GKE 버전만 클라우드용 Defender에서 공식적으로 지원합니다.
다음은 지원되는 클라우드 환경 및 컨테이너 레지스트리에 대해 Defender for Containers에서 제공하는 기능입니다.
VA(취약성 평가) 기능
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 컨테이너 레지스트리 VA |
컨테이너 레지스트리의 이미지에 대한 취약성 평가 (VA) |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Docker Hub/Jfrog에 레지스트리 액세스1 또는 커넥터 만들기 필요 |
컨테이너용 Defender 또는 Defender CSPM |
상용 클라우드
국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| 런타임 컨테이너 VA - 레지스트리 스캔 기반 |
지원되는 레지스트리에서 이미지를 실행하는 컨테이너의 VA |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Docker Hub/Jfrog에 대한 레지스트리 액세스1 또는 커넥터 만들기와 K8S API 액세스 또는 Defender 센서1가 필요함 |
컨테이너용 Defender 또는 Defender CSPM |
상용 클라우드
국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| 런타임 컨테이너 VA |
레지스트리에 독립적인 컨테이너 실행 이미지의 VA |
모두 |
미리 보기를 |
- |
머신용 에이전트 없는 검사 및 K8S API 액세스 또는 Defender 센서 필요1 |
컨테이너용 Defender 또는 Defender CSPM |
상용 클라우드
국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
1국가별 클라우드는 자동으로 사용하도록 설정되며 사용하지 않도록 설정할 수 없습니다.
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 컨테이너 레지스트리 VA |
컨테이너 레지스트리의 이미지에 대한 취약성 평가 |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
레지스트리 액세스 필요 |
컨테이너용 Defender 또는 Defender CSPM |
AWS |
| 런타임 컨테이너 VA - 레지스트리 스캔 기반 |
지원되는 레지스트리에서 이미지를 실행하는 컨테이너의 VA |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
머신용 에이전트 없는 검사 및 K8S API 액세스 또는 Defender 센서 필요 |
컨테이너용 Defender 또는 Defender CSPM |
AWS |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 컨테이너 레지스트리 VA |
컨테이너 레지스트리의 이미지에 대한 취약성 평가 |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
레지스트리 액세스 필요 |
컨테이너용 Defender 또는 Defender CSPM |
구글 클라우드 플랫폼 (GCP) |
| 런타임 컨테이너 VA - 레지스트리 스캔 기반 |
지원되는 레지스트리에서 이미지를 실행하는 컨테이너의 VA |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
머신용 에이전트 없는 검사 및 K8S API 액세스 또는 Defender 센서 필요 |
컨테이너용 Defender 또는 Defender CSPM |
구글 클라우드 플랫폼 (GCP) |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 컨테이너 레지스트리 VA |
컨테이너 레지스트리의 이미지에 대한 취약성 평가 |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
레지스트리 액세스 필요 |
컨테이너용 Defender 또는 Defender CSPM |
Arc Connected 클러스터 |
| 런타임 컨테이너 VA - 레지스트리 스캔 기반 |
지원되는 레지스트리에서 이미지를 실행하는 컨테이너의 VA |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
머신용 에이전트 없는 검사 및 K8S API 액세스 또는 Defender 센서 필요 |
컨테이너용 Defender 또는 Defender CSPM |
Arc Connected 클러스터 |
취약성 평가에 대한 레지스트리 및 이미지 지원
| 측면 |
세부 정보 |
| 레지스트리 및 이미지 |
지원됨
* Docker V2 형식의 컨테이너 이미지
* OCI(Open Container Initiative) 이미지 형식 사양이 있는 이미지
지원되지 않음
* Docker 스크래치 이미지와 같은 슈퍼 미니멀한 이미지는 현재 지원되지 않습니다.
* 공용 리포지토리
* 매니페스트 목록
|
| 운영 체제 |
지원됨
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9(CentOS는 2024년 6월 30일 현재 서비스 종료입니다. 자세한 내용은 CentOS 수명 종료 지침을 참조 하세요.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
* Google Distroless(Debian GNU/Linux 7-12 기반)
* Ubuntu 12.04-24.04
* 페도라 31-37
* Azure Linux 1-2
* Windows Server 2016, 2019, 2022 |
언어별 패키지
|
지원됨
*파이썬
* Node.js
* PHP
*루비
*녹
*.NET
*자바
*가세요 |
런타임 보호 기능
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어 플레인 탐지 |
Kubernetes 감사 내역을 기반으로 Kubernetes에 대한 의심스러운 작업 검색 |
AKS |
GA |
GA |
계획으로 활성화됨 |
컨테이너용 Defender 또는 Defender CSPM |
상용 클라우드 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| 워크로드 감지 |
컨테이너화된 워크로드에서 위협을 모니터링하고 의심스러운 활동에 대한 경고를 제공합니다. |
AKS |
GA |
- |
Defender 센서 필요 |
컨테이너용 Defender |
상용 클라우드 및 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| 이진 드리프트 검색 |
컨테이너 이미지에서 런타임 컨테이너의 이진을 검색합니다. |
AKS |
GA |
- |
Defender 센서 필요 |
컨테이너용 Defender |
상용 클라우드 |
| DNS 탐지 |
DNS 검색 기능 |
AKS |
미리 보기를 |
|
Helm을 통한 Defender 센서가 필요합니다. |
컨테이너용 Defender |
상용 클라우드 |
| XDR의 고급 헌팅 |
Microsoft XDR에서 클러스터 인시던트 및 경고 보기 |
AKS |
미리 보기 - 현재 감사 로그 및 프로세스 이벤트를 지원합니다. |
미리 보기 - 현재 감사 로그 지원 |
Defender 센서 필요 |
컨테이너용 Defender |
상용 클라우드 및 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| XDR의 응답 작업 |
Microsoft XDR에서 자동화된 수동 수정 제공 |
AKS |
미리 보기를 |
- |
Defender 센서 및 K8S 액세스 API 필요 |
컨테이너용 Defender |
상용 클라우드 및 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| 맬웨어 검색 |
맬웨어 검색 |
AKS 노드 |
GA |
GA |
머신용 에이전트 없는 검사 필요 |
컨테이너용 Defender 또는 서버용 Defender 플랜 2 |
상용 클라우드 |
Azure에서 런타임 위협 방지를 위한 Kubernetes 배포 및 구성
1 모든 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터가 지원되지만, 지정된 클러스터만 Azure에서 테스트되었습니다.
2 사용자 환경에 대한 컨테이너용 Microsoft Defender 보호를 받으려면 Azure Arc 지원 Kubernetes에 온보딩하고 컨테이너용 Defender를 Arc 확장으로 사용하도록 설정해야 합니다.
참고
Kubernetes 워크로드 보호에 대한 추가 요구 사항은 기존 제한 사항을 참조하세요.
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어 플레인 탐지 |
Kubernetes 감사 내역을 기반으로 Kubernetes에 대한 의심스러운 작업 검색 |
EKS |
GA |
GA |
계획으로 활성화됨 |
컨테이너용 Defender 또는 Defender CSPM |
AWS |
| 워크로드 감지 |
컨테이너화된 워크로드에서 위협을 모니터링하고 의심스러운 활동에 대한 경고를 제공합니다. |
EKS |
GA |
- |
Defender 센서 필요 |
컨테이너용 Defender |
AWS |
| 이진 드리프트 검색 |
컨테이너 이미지에서 런타임 컨테이너의 이진을 검색합니다. |
EKS |
GA |
- |
Defender 센서 필요 |
컨테이너용 Defender |
AWS |
| DNS 탐지 |
DNS 검색 기능 |
EKS |
미리 보기를 |
|
Helm을 통한 Defender 센서가 필요합니다. |
컨테이너용 Defender |
AWS |
| XDR의 고급 헌팅 |
Microsoft XDR에서 클러스터 인시던트 및 경고 보기 |
EKS |
미리 보기 - 현재 감사 로그 및 프로세스 이벤트를 지원합니다. |
미리 보기 - 현재 감사 로그 지원 |
Defender 센서 필요 |
컨테이너용 Defender |
AWS |
| XDR의 응답 작업 |
Microsoft XDR에서 자동화된 수동 수정 제공 |
EKS |
미리 보기를 |
- |
Defender 센서 및 K8S 액세스 API 필요 |
컨테이너용 Defender |
AWS |
| 맬웨어 검색 |
맬웨어 검색 |
- |
- |
- |
- |
- |
- |
AWS에서 런타임 위협 방지를 위한 Kubernetes 배포/구성 지원
1 모든 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터가 지원되지만, 지정된 클러스터만 테스트되었습니다.
2 사용자 환경에 대한 컨테이너용 Microsoft Defender 보호를 받으려면 Azure Arc 지원 Kubernetes에 온보딩하고 컨테이너용 Defender를 Arc 확장으로 사용하도록 설정해야 합니다.
참고
Kubernetes 워크로드 보호에 대한 추가 요구 사항은 기존 제한 사항을 참조하세요.
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어 플레인 탐지 |
Kubernetes 감사 내역을 기반으로 Kubernetes에 대한 의심스러운 작업 검색 |
GKE |
GA |
GA |
계획으로 활성화됨 |
컨테이너용 Defender |
구글 클라우드 플랫폼 (GCP) |
| 워크로드 감지 |
컨테이너화된 워크로드에서 위협을 모니터링하고 의심스러운 활동에 대한 경고를 제공합니다. |
GKE |
GA |
- |
Defender 센서 필요 |
컨테이너용 Defender |
구글 클라우드 플랫폼 (GCP) |
| 이진 드리프트 검색 |
컨테이너 이미지에서 런타임 컨테이너의 이진을 검색합니다. |
GKE |
GA |
- |
Defender 센서 필요 |
컨테이너용 Defender |
구글 클라우드 플랫폼 (GCP) |
| DNS 탐지 |
DNS 검색 기능 |
GKE |
미리 보기를 |
|
Helm을 통한 Defender 센서 필요 |
컨테이너용 Defender |
구글 클라우드 플랫폼 (GCP) |
| XDR의 고급 헌팅 |
Microsoft XDR에서 클러스터 인시던트 및 경고 보기 |
GKE |
미리 보기 - 현재 감사 로그 및 프로세스 이벤트를 지원합니다. |
미리 보기 - 현재 감사 로그 지원 |
Defender 센서 필요 |
컨테이너용 Defender |
구글 클라우드 플랫폼 (GCP) |
| XDR의 응답 작업 |
Microsoft XDR에서 자동화된 수동 수정 제공 |
GKE |
미리 보기를 |
- |
Defender 센서 및 K8S 액세스 API 필요 |
컨테이너용 Defender |
구글 클라우드 플랫폼 (GCP) |
| 맬웨어 검색 |
맬웨어 검색 |
- |
- |
- |
- |
- |
- |
GCP에서 런타임 위협 방지를 위한 Kubernetes 배포/구성 지원
1 모든 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터가 지원되지만, 지정된 클러스터만 테스트되었습니다.
2 사용자 환경에 대한 컨테이너용 Microsoft Defender 보호를 받으려면 Azure Arc 지원 Kubernetes에 온보딩하고 컨테이너용 Defender를 Arc 확장으로 사용하도록 설정해야 합니다.
참고
Kubernetes 워크로드 보호에 대한 추가 요구 사항은 기존 제한 사항을 참조하세요.
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어 플레인 탐지 |
Kubernetes 감사 내역을 기반으로 Kubernetes에 대한 의심스러운 작업 검색 |
Arc 지원 K8s 클러스터 |
미리 보기를 |
미리 보기를 |
Defender 센서 필요 |
컨테이너용 Defender |
|
| 워크로드 감지 |
컨테이너화된 워크로드에서 위협을 모니터링하고 의심스러운 활동에 대한 경고를 제공합니다. |
Arc 지원 Kubernetes 클러스터 |
미리 보기를 |
- |
Defender 센서 필요 |
컨테이너용 Defender |
|
| 이진 드리프트 검색 |
컨테이너 이미지에서 런타임 컨테이너의 이진을 검색합니다. |
|
- |
- |
- |
- |
- |
| XDR의 고급 헌팅 |
Microsoft XDR에서 클러스터 인시던트 및 경고 보기 |
Arc 지원 Kubernetes 클러스터 |
미리 보기 - 현재 감사 로그 및 프로세스 이벤트를 지원합니다. |
미리 보기 - 현재 감사 로그 및 프로세스 이벤트를 지원합니다. |
Defender 센서 필요 |
컨테이너용 Defender |
|
| XDR의 응답 작업 |
Microsoft XDR에서 자동화된 수동 수정 제공 |
- |
- |
- |
- |
- |
|
| 맬웨어 검색 |
맬웨어 검색 |
- |
- |
- |
- |
- |
- |
Arc 지원 Kubernetes에서 런타임 위협 방지를 위한 Kubernetes 배포/구성
1 모든 CNCF(Cloud Native Computing Foundation) 인증 Kubernetes 클러스터가 지원되지만, 지정된 클러스터만 테스트되었습니다.
2 사용자 환경에 대한 컨테이너용 Microsoft Defender 보호를 받으려면 Azure Arc 지원 Kubernetes에 온보딩하고 컨테이너용 Defender를 Arc 확장으로 사용하도록 설정해야 합니다.
참고
Kubernetes 워크로드 보호에 대한 추가 요구 사항은 기존 제한 사항을 참조하세요.
보안 태세 관리 기능
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| Kubernetes용 에이전트 없는 검색1 |
Kubernetes 클러스터와 그 구성 및 배포를 위한 무발자국 API 기반 검색을 제공합니다. |
AKS |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
Azure 상용 클라우드 |
| 포괄적인 인벤토리 기능 |
보안 탐색기를 통해 리소스, Pod, 서비스, 리포지토리, 이미지 및 구성을 탐색하여 자산을 쉽게 모니터링하고 관리할 수 있습니다. |
ACR, AKS |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
Azure 상용 클라우드 |
| 공격 경로 분석 |
클라우드 보안 그래프를 검사하는 그래프 기반 알고리즘입니다. 검사를 통해 공격자가 환경을 위반하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. |
ACR, AKS |
GA |
GA |
K8S API 액세스가 필요 |
디펜더 CSPM |
Azure 상용 클라우드 |
| 향상된 위험 탐색 |
보안 관리자는 보안 탐색기의 쿼리(기본 제공 및 사용자 지정)와 보안 인사이트를 통해 컨테이너화된 자산에서 포스처 문제를 적극적으로 찾을 수 있습니다. |
ACR, AKS |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
Azure 상용 클라우드 |
| 컨트롤 플레인 강화1 |
클러스터 구성을 지속적으로 평가하고 이를 구독에 적용된 이니셔티브와 비교합니다. 잘못된 구성이 검색되면 클라우드용 Defender는 클라우드용 Defender의 권장 사항 페이지에서 사용할 수 있는 보안 권장 사항을 생성합니다. 권장 사항을 사용하면 문제를 조사하고 수정할 수 있습니다. |
ACR, AKS |
GA |
GA |
계획으로 활성화됨 |
무료 |
상용 클라우드
국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| 워크로드 강화1 |
모범 사례 권장 사항을 통해 Kubernetes 컨테이너의 워크로드를 보호합니다. |
AKS |
GA |
- |
Azure Policy 필요 |
무료 |
상용 클라우드
국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
AKS |
GA |
- |
보안 표준으로 할당됨 |
컨테이너용 Defender 또는 Defender CSPM |
상용 클라우드
|
1 클러스터 리소스 수준에서 Defender for Containers를 사용하도록 설정할 때 개별 클러스터에 대해 이 기능을 사용하도록 설정할 수 있습니다.
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| Kubernetes에 대한 에이전트 없는 검색 |
Kubernetes 클러스터와 그 구성 및 배포를 위한 무발자국 API 기반 검색을 제공합니다. |
EKS |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
Azure 상용 클라우드 |
| 포괄적인 인벤토리 기능 |
보안 탐색기를 통해 리소스, Pod, 서비스, 리포지토리, 이미지 및 구성을 탐색하여 자산을 쉽게 모니터링하고 관리할 수 있습니다. |
ECR, EKS |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
AWS |
| 공격 경로 분석 |
클라우드 보안 그래프를 검사하는 그래프 기반 알고리즘입니다. 검사를 통해 공격자가 환경을 위반하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. |
ECR, EKS |
GA |
GA |
K8S API 액세스가 필요 |
Defender CSPM(Kubernetes에 대한 에이전트 없는 검색을 사용하도록 설정해야 함) |
AWS |
| 향상된 위험 탐색 |
보안 관리자는 보안 탐색기의 쿼리(기본 제공 및 사용자 지정)와 보안 인사이트를 통해 컨테이너화된 자산에서 포스처 문제를 적극적으로 찾을 수 있습니다. |
ECR, EKS |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
AWS |
| 컨트롤 플레인 강화 |
클러스터 구성을 지속적으로 평가하고 이를 구독에 적용된 이니셔티브와 비교합니다. 잘못된 구성이 검색되면 클라우드용 Defender는 클라우드용 Defender의 권장 사항 페이지에서 사용할 수 있는 보안 권장 사항을 생성합니다. 권장 사항을 사용하면 문제를 조사하고 수정할 수 있습니다. |
- |
- |
- |
- |
- |
- |
| 워크로드 강화 |
모범 사례 권장 사항을 통해 Kubernetes 컨테이너의 워크로드를 보호합니다. |
EKS |
GA |
- |
Azure Arc에 대한 Azure Policy 확장 자동 프로비전 필요 |
무료 |
AWS |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
EKS |
GA |
- |
보안 표준으로 할당됨 |
컨테이너용 Defender 또는 Defender CSPM |
AWS |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| Kubernetes에 대한 에이전트 없는 검색 |
Kubernetes 클러스터와 그 구성 및 배포를 위한 무발자국 API 기반 검색을 제공합니다. |
GKE |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
구글 클라우드 플랫폼 (GCP) |
| 포괄적인 인벤토리 기능 |
보안 탐색기를 통해 리소스, Pod, 서비스, 리포지토리, 이미지 및 구성을 탐색하여 자산을 쉽게 모니터링하고 관리할 수 있습니다. |
GCR, GAR, GKE |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
구글 클라우드 플랫폼 (GCP) |
| 공격 경로 분석 |
클라우드 보안 그래프를 검사하는 그래프 기반 알고리즘입니다. 검사를 통해 공격자가 환경을 위반하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. |
GCR, GAR, GKE |
GA |
GA |
K8S API 액세스가 필요 |
디펜더 CSPM |
구글 클라우드 플랫폼 (GCP) |
| 향상된 위험 탐색 |
보안 관리자는 보안 탐색기의 쿼리(기본 제공 및 사용자 지정)와 보안 인사이트를 통해 컨테이너화된 자산에서 포스처 문제를 적극적으로 찾을 수 있습니다. |
GCR, GAR, GKE |
GA |
GA |
K8S API 액세스가 필요 |
컨테이너용 Defender 또는 Defender CSPM |
구글 클라우드 플랫폼 (GCP) |
| 컨트롤 플레인 강화 |
클러스터 구성을 지속적으로 평가하고 이를 구독에 적용된 이니셔티브와 비교합니다. 잘못된 구성이 검색되면 클라우드용 Defender는 클라우드용 Defender의 권장 사항 페이지에서 사용할 수 있는 보안 권장 사항을 생성합니다. 권장 사항을 사용하면 문제를 조사하고 수정할 수 있습니다. |
GKE |
GA |
GA |
계획에 따라 활성화됨 |
무료 |
구글 클라우드 플랫폼 (GCP) |
| 워크로드 강화 |
모범 사례 권장 사항을 통해 Kubernetes 컨테이너의 워크로드를 보호합니다. |
GKE |
GA |
- |
Azure Arc에 대한 Azure Policy 확장 자동 프로비전 필요 |
무료 |
구글 클라우드 플랫폼 (GCP) |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
GKE |
GA |
- |
보안 표준으로 할당됨 |
컨테이너용 Defender 또는 Defender CSPM |
구글 클라우드 플랫폼 (GCP) |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| Kubernetes에 대한 에이전트 없는 검색 |
Kubernetes 클러스터와 그 구성 및 배포를 위한 무발자국 API 기반 검색을 제공합니다. |
- |
- |
- |
- |
- |
- |
| 포괄적인 인벤토리 기능 |
보안 탐색기를 통해 리소스, Pod, 서비스, 리포지토리, 이미지 및 구성을 탐색하여 자산을 쉽게 모니터링하고 관리할 수 있습니다. |
- |
- |
- |
- |
- |
- |
| 공격 경로 분석 |
클라우드 보안 그래프를 검사하는 그래프 기반 알고리즘입니다. 검사를 통해 공격자가 환경을 위반하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. |
- |
- |
- |
- |
- |
- |
| 향상된 위험 탐색 |
보안 관리자는 보안 탐색기의 쿼리(기본 제공 및 사용자 지정)와 보안 인사이트를 통해 컨테이너화된 자산에서 포스처 문제를 적극적으로 찾을 수 있습니다. |
- |
- |
- |
- |
- |
- |
| 컨트롤 플레인 강화 |
클러스터 구성을 지속적으로 평가하고 이를 구독에 적용된 이니셔티브와 비교합니다. 잘못된 구성이 검색되면 클라우드용 Defender는 클라우드용 Defender의 권장 사항 페이지에서 사용할 수 있는 보안 권장 사항을 생성합니다. 권장 사항을 사용하면 문제를 조사하고 수정할 수 있습니다. |
- |
- |
- |
- |
- |
- |
| 워크로드 강화 |
모범 사례 권장 사항을 통해 Kubernetes 컨테이너의 워크로드를 보호합니다. |
Arc 지원 Kubernetes 클러스터 |
GA |
- |
Azure Arc에 대한 Azure Policy 확장 자동 프로비전 필요 |
컨테이너용 Defender |
Arc 지원 Kubernetes 클러스터 |
| CIS Azure Kubernetes Service |
CIS Azure Kubernetes Service Benchmark |
Arc 지원 VM |
미리 보기를 |
- |
보안 표준으로 할당됨 |
컨테이너용 Defender 또는 Defender CSPM |
Arc 지원 Kubernetes 클러스터 |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 포괄적인 인벤토리 기능 |
보안 탐색기를 통해 리소스, Pod, 서비스, 리포지토리, 이미지 및 구성을 탐색하여 자산을 쉽게 모니터링하고 관리할 수 있습니다. |
Docker Hub, JFrog Artifactory |
미리 보기를 |
미리 보기를 |
커넥터 만들기 |
기본 CSPM 또는 Defender CSPM 또는 컨테이너용 Defender |
- |
| 공격 경로 분석 |
클라우드 보안 그래프를 검사하는 그래프 기반 알고리즘입니다. 검사를 통해 공격자가 환경을 위반하는 데 사용할 수 있는 익스플로잇 가능한 경로를 노출합니다. |
Docker Hub, JFrog Artifactory |
미리 보기를 |
미리 보기를 |
커넥터 만들기 |
디펜더 CSPM |
- |
| 향상된 위험 탐색 |
보안 관리자는 보안 탐색기의 쿼리(기본 제공 및 사용자 지정)와 보안 인사이트를 통해 컨테이너화된 자산에서 포스처 문제를 적극적으로 찾을 수 있습니다. |
Docker Hub, JFrog |
미리 보기를 |
미리 보기를 |
커넥터 만들기 |
컨테이너용 Defender 또는 Defender CSPM |
|
컨테이너 소프트웨어 공급망 보호 기능
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어된 배포 |
Kubernetes 환경에 컨테이너 이미지의 제어된 배포 |
AKS 1.32 이상 |
미리 보기를 |
미리 보기를 |
계획으로 활성화됨 |
컨테이너용 Defender 또는 Defender CSPM |
상용 클라우드 국가별 클라우드: Azure Government, 21Vianet에서 운영하는 Azure |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어된 배포 |
Kubernetes 환경에 컨테이너 이미지의 제어된 배포 |
- |
- |
- |
- |
- |
- |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어된 배포 |
Kubernetes 환경에 컨테이너 이미지의 제어된 배포 |
- |
- |
- |
- |
- |
- |
| 기능 |
설명 |
지원되는 리소스 |
Linux 릴리스 상태 |
Windows 릴리스 상태 |
활성화 방법 |
계획 |
클라우드 가용성 |
| 제어된 배포 |
Kubernetes 환경에 컨테이너 이미지의 제어된 배포 |
- |
- |
- |
- |
- |
- |
네트워크 제한 사항
| 측면 |
세부 정보 |
| 아웃바운드 프록시 지원 |
인증이 없는 아웃바운드 프록시와 기본 인증을 사용하는 아웃바운드 프록시가 지원됩니다. 신뢰할 수 있는 인증서가 예상되는 아웃바운드 프록시는 현재 지원되지 않습니다. |
| IP 제한이 있는 클러스터 |
AWS의 Kubernetes 클러스터에 제어 평면 IP 제한이 사용하도록 설정된 경우(Amazon EKS 클러스터 엔드포인트 액세스 제어 - Amazon EKS 참조) 컨트롤 플레인의 IP 제한 구성이 클라우드용 Microsoft Defender CIDR 블록을 포함하도록 업데이트됩니다. |
| 측면 |
세부 정보 |
| 아웃바운드 프록시 지원 |
인증이 없는 아웃바운드 프록시와 기본 인증을 사용하는 아웃바운드 프록시가 지원됩니다. 신뢰할 수 있는 인증서가 예상되는 아웃바운드 프록시는 현재 지원되지 않습니다. |
| IP 제한이 있는 클러스터 |
GCP의 Kubernetes 클러스터에 컨트롤 플레인 IP 제한이 활성화되어 있는 경우(GKE 참조 - 제어 평면 액세스 대한 권한 있는 네트워크 추가) 컨트롤 플레인의 IP 제한 구성이 클라우드용 Microsoft Defender의 CIDR 블록을 포함하도록 업데이트됩니다. |
| 측면 |
세부 정보 |
| 아웃바운드 프록시 지원 |
인증이 없는 아웃바운드 프록시와 기본 인증을 사용하는 아웃바운드 프록시가 지원됩니다. 신뢰할 수 있는 인증서가 예상되는 아웃바운드 프록시는 현재 지원되지 않습니다. |
지원되는 호스트 운영 체제
컨테이너용 Defender는 Defender 센서를 여러 기능에 사용합니다. Defender 센서는 다음 호스트 운영 체제에서 Linux 커널 5.4 이상에서만 지원됩니다.
- Amazon Linux 2
- CentOS 8(CentOS는 2024년 6월 30일 현재 서비스 종료입니다. 자세한 내용은 CentOS 수명 종료 지침을 참조 하세요.)
- Debian 10
- Debian 11
- Google 컨테이너 최적화 OS
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Kubernetes 노드가 확인된 운영 체제 중 하나에서 실행되고 있는지 확인합니다. 지원되지 않는 호스트 운영 체제가 있는 클러스터는 Defender 센서를 사용하는 기능의 이점을 얻지 못합니다.
Defender 센서 제한 사항
AKS V1.28 이하의 디펜더 센서는 Arm64 노드에서 지원되지 않습니다.
다음 단계