Caution
Este artigo faz referência ao CentOS, uma distribuição do Linux que chegou ao fim do serviço em 30 de junho de 2024. Considere o seu uso e planeje de acordo. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.
Importante
Todos os recursos do Microsoft Defender para Nuvem serão oficialmente desativados na região do Azure na China em 18 de agosto de 2026. Devido a essa próxima desativação, os clientes do Azure na China não poderão mais integrar novas assinaturas ao serviço. Uma nova assinatura é qualquer assinatura que ainda não foi integrada ao serviço Microsoft Defender para Nuvem antes de 18 de agosto de 2025, data do anúncio de desativação. Para obter mais informações sobre a desativação, veja Comunicado de reprovação do Microsoft Defender para Nuvem no Microsoft Azure Operado pela 21Vianet.
Os clientes devem trabalhar com seus representantes de conta para o Microsoft Azure operado pela 21Vianet para avaliar o impacto dessa aposentadoria em suas próprias operações.
Esse artigo resume as informações de suporte para recursos de contêiner no Microsoft Defender para Nuvem.
Note
- Os recursos específicos estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
- Somente as versões do AKS, EKS e GKE suportadas pelo fornecedor de nuvem são oficialmente suportadas pelo Defender para Nuvem.
Veja a seguir os recursos fornecidos pelo Defender para contêineres para os ambientes de nuvem e registros de contêiner com suporte.
Características de avaliação de vulnerabilidade
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Registro de Contêineres VA |
VA para imagens em registros de contêiner |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Requer acesso ao Registro1 ou a criação de um conector para o Docker Hub/Jfrog |
Defender para contêineres OU GPSN do Defender |
Nuvens comerciais
Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| VA do contêiner de runtime – Verificação do Registro com base |
VA de contêineres que executam imagens de registros com suporte |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Requer Acesso ao Registro 1 ou Criação do Conector para o Hub do Docker/Jfrog e acesso à API K8S ou Sensor do Defender1 |
Defender para contêineres OU GPSN do Defender |
Nuvens comerciais
Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| VA do contêiner de runtime |
VA independente do Registro de imagens em execução de contêiner |
All |
Preview |
- |
Requer verificação sem agente para máquinas e acesso à API K8S ou sensor do Defender1 |
Defender para contêineres OU GPSN do Defender |
Nuvens comerciais
Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
1As nuvens nacionais são habilitadas automaticamente e não podem ser desabilitadas.
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Registro de Contêineres VA |
Avaliações de vulnerabilidade para imagens em registros de contêiner |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Requer acesso ao Registro |
Defender para contêineres OU GPSN do Defender |
AWS |
| VA do contêiner de runtime – Verificação do Registro com base |
VA de contêineres que executam imagens de registros com suporte |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Requer escaneamento sem agente para máquinas e acesso à API K8S ou sensor do Defender |
Defender para contêineres OU GPSN do Defender |
AWS |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Registro de Contêineres VA |
Avaliações de vulnerabilidade para imagens em registros de contêiner |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Requer acesso ao Registro |
Defender para contêineres OU GPSN do Defender |
GCP |
| VA do contêiner de runtime – Verificação do Registro com base |
VA de contêineres que executam imagens de registros com suporte |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Requer escaneamento sem agente para máquinas e acesso à API K8S ou sensor do Defender |
Defender para contêineres OU GPSN do Defender |
GCP |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Registro de Contêineres VA |
Avaliações de vulnerabilidade para imagens em registros de contêiner |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
GA |
Requer acesso ao Registro |
Defender para contêineres OU GPSN do Defender |
Clusters conectados ao Arc |
| VA do contêiner de runtime – Verificação do Registro com base |
VA de contêineres que executam imagens de registros com suporte |
ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory |
GA |
- |
Requer escaneamento sem agente para máquinas e acesso à API K8S ou sensor do Defender |
Defender para contêineres OU GPSN do Defender |
Clusters conectados ao Arc |
Suporte a registros e imagens para avaliação de vulnerabilidade
| Aspect |
Details |
| Registros e imagens |
Supported
• Imagens de contêiner no formato do Docker V2
Imagens com especificação de formato de imagem de Open Container Initiative (OCI)
Unsupported
• No momento, imagens super minimalistas, como imagens de rascunhos do Docker, não têm suporte
• Repositórios públicos
• Listas de manifesto
|
| Sistemas operacionais |
Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (o CentOS chegou ao fim do serviço em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
• Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
Windows Server 2016, 2019, 2022.
* Sistema operacional Chainguard/Wolfi OS
* Alma Linux 8.4 ou posterior
* Rocky Linux 8.7 ou posterior |
Pacotes específicos de idioma
|
Supported
* Python
* Node.js
* PHP
* Ruby
* Rust
* .NET
* Java
* Go |
Recursos de proteção de runtime
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Detecção de plano de controle |
Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes |
AKS |
GA |
GA |
Habilitado com plano |
Defender para contêineres |
Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| Detecção de carga de trabalho |
Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas |
AKS |
GA |
- |
Requer sensor do Defender |
Defender para contêineres |
Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| Detecção de deriva binária |
Detecta binário do contêiner de runtime da imagem de contêiner |
AKS |
GA |
- |
Requer sensor do Defender |
Defender para contêineres |
Nuvens comerciais |
| Detecção de DNS |
Recursos de detecção de DNS |
AKS |
Preview |
|
Requer o sensor do Defender via Helm |
Defender para contêineres |
Nuvens comerciais |
| Busca avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
AKS |
Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo |
Versão prévia – atualmente dá suporte a logs de auditoria |
Requer sensor do Defender |
Defender para contêineres |
Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
AKS |
Preview |
- |
Requer sensor Defender e API de acesso K8S |
Defender para contêineres |
Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| Detecção de software mal-intencionado |
Detecção de malware |
Nós do AKS |
GA |
GA |
Requer verificação sem agente para computadores |
Defender para Contêineres ou Plano 2 do Defender para Servidores |
Nuvens comerciais |
Distribuições e configurações do Kubernetes para proteção contra ameaças em runtime no Azure
1 Todos os clusters Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) devem ser suportados, mas apenas os clusters especificados foram testados no Azure.
2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Detecção de plano de controle |
Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes |
EKS |
GA |
GA |
Habilitado com plano |
Defender para contêineres |
AWS |
| Detecção de carga de trabalho |
Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas |
EKS |
GA |
- |
Requer sensor do Defender |
Defender para contêineres |
AWS |
| Detecção de deriva binária |
Detecta binário do contêiner de runtime da imagem de contêiner |
EKS |
GA |
- |
Requer sensor do Defender |
Defender para contêineres |
AWS |
| Detecção de DNS |
Recursos de detecção de DNS |
EKS |
Preview |
|
Requer o sensor do Defender via Helm |
Defender para contêineres |
AWS |
| Busca avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
EKS |
Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo |
Versão prévia – atualmente dá suporte a logs de auditoria |
Requer sensor do Defender |
Defender para contêineres |
AWS |
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
EKS |
Preview |
- |
Requer sensor Defender e API de acesso K8S |
Defender para contêineres |
AWS |
| Detecção de software mal-intencionado |
Detecção de malware |
- |
- |
- |
- |
- |
- |
Suporte a distribuições/configurações do Kubernetes para proteção contra ameaças em runtime no AWS
1 Todos os clusters de Kubernetes certificados pela CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados foram testados.
2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Detecção de plano de controle |
Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes |
GKE |
GA |
GA |
Habilitado com plano |
Defender para contêineres |
GCP |
| Detecção de carga de trabalho |
Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas |
GKE |
GA |
- |
Requer sensor do Defender |
Defender para contêineres |
GCP |
| Detecção de deriva binária |
Detecta binário do contêiner de runtime da imagem de contêiner |
GKE |
GA |
- |
Requer sensor do Defender |
Defender para contêineres |
GCP |
| Detecção de DNS |
Recursos de detecção de DNS |
GKE |
Preview |
|
Requer o Sensor do Defender via Helm |
Defender para contêineres |
GCP |
| Busca avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
GKE |
Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo |
Versão prévia – atualmente dá suporte a logs de auditoria |
Requer sensor do Defender |
Defender para contêineres |
GCP |
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
GKE |
Preview |
- |
Requer sensor Defender e API de acesso K8S |
Defender para contêineres |
GCP |
| Detecção de software mal-intencionado |
Detecção de malware |
- |
- |
- |
- |
- |
- |
Suporte a distribuições/configurações do Kubernetes para proteção contra ameaças em runtime no GCP
| Aspect |
Details |
| Distribuições e configurações do Kubernetes |
Supported
*
Google Kubernetes Engine (GKE) Standard
Com suporte por meio do Kubernetes habilitado para Arc12
*
Kubernetes
Unsupported
• Clusters de rede privada
• GKE autopilot
• GKE AuthorizedNetworksConfig |
1 Todos os clusters de Kubernetes certificados pela CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados foram testados.
2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Detecção de plano de controle |
Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes |
Clusters K8s habilitados para Arc |
Preview |
Preview |
Requer sensor do Defender |
Defender para contêineres |
|
| Detecção de carga de trabalho |
Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas |
Cluster do Kubernetes habilitados para Arc |
Preview |
- |
Requer sensor do Defender |
Defender para contêineres |
|
| Detecção de deriva binária |
Detecta binário do contêiner de runtime da imagem de contêiner |
|
- |
- |
- |
- |
- |
| Busca avançada em XDR |
Exibir incidentes e alertas de cluster no Microsoft XDR |
Cluster do Kubernetes habilitados para Arc |
Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo |
Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo |
Requer sensor do Defender |
Defender para contêineres |
|
| Ações de resposta em XDR |
Fornece correção automatizada e manual no Microsoft XDR |
- |
- |
- |
- |
- |
|
| Detecção de software mal-intencionado |
Detecção de malware |
- |
- |
- |
- |
- |
- |
Distribuições/configurações do Kubernetes para proteção contra ameaças em runtime no Kubernetes habilitado para Arc
1 Todos os clusters de Kubernetes certificados pela CNCF (Cloud Native Computing Foundation) devem ter suporte, mas apenas os clusters especificados foram testados.
2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.
Note
Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.
Recursos de gerenciamento de postura de segurança
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para o Kubernetes1 |
Proporciona uma descoberta baseada em API, sem necessidade de ocupação de volume de memória, de clusters do Kubernetes, suas configurações e implantações. |
AKS |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
Nuvens comerciais do Azure |
| Funcionalidades abrangentes de inventário |
Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos. |
ACR, AKS |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
Nuvens comerciais do Azure |
| Análise do caminho de ataque |
Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para violar seu ambiente. |
ACR, AKS |
GA |
GA |
Requer acesso à API K8S |
CSPM do Defender |
Nuvens comerciais do Azure |
| Busca de risco aprimorada |
Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança. |
ACR, AKS |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
Nuvens comerciais do Azure |
|
Fortalecimento do plano de controle1 |
Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas. |
ACR, AKS |
GA |
GA |
Habilitado com plano |
Gratuito |
Nuvens comerciais
Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
|
Proteção da carga de trabalho1 |
Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas. |
AKS |
GA |
- |
Requer o Azure Policy |
Gratuito |
Nuvens comerciais
Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| Serviço de Kubernetes do Azure do CIS |
Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS |
AKS |
GA |
- |
Atribuído como um padrão de segurança |
Defender para contêineres OU CSPM do Defender |
Nuvens comerciais
|
1 Esse recurso pode ser habilitado para um cluster individual ao habilitar o Defender para contêineres no nível de recurso do cluster.
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para o Kubernetes |
Proporciona uma descoberta baseada em API, sem necessidade de ocupação de volume de memória, de clusters do Kubernetes, suas configurações e implantações. |
EKS |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
Nuvens comerciais do Azure |
| Funcionalidades abrangentes de inventário |
Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos. |
ECR, EKS |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
AWS |
| Análise do caminho de ataque |
Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para violar seu ambiente. |
ECR, EKS |
GA |
GA |
Requer acesso à API K8S |
Defender CSPM (requer a descoberta sem agente para que o Kubernetes seja habilitado) |
AWS |
| Busca de risco aprimorada |
Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança. |
ECR, EKS |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
AWS |
|
Endurecimento do plano de controle |
Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas. |
- |
- |
- |
- |
- |
- |
|
Proteção da carga de trabalho |
Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas. |
EKS |
GA |
- |
Requer o provisionamento automático da extensão do Azure Policy para o Azure Arc |
Gratuito |
AWS |
| Serviço de Kubernetes do Azure do CIS |
Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS |
EKS |
GA |
- |
Atribuído como um padrão de segurança |
Defender para contêineres OU CSPM do Defender |
AWS |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para o Kubernetes |
Proporciona uma descoberta baseada em API, sem necessidade de ocupação de volume de memória, de clusters do Kubernetes, suas configurações e implantações. |
GKE |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
GCP |
| Funcionalidades abrangentes de inventário |
Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos. |
GCR, GAR, GKE |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
GCP |
| Análise do caminho de ataque |
Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para violar seu ambiente. |
GCR, GAR, GKE |
GA |
GA |
Requer acesso à API K8S |
CSPM do Defender |
GCP |
| Busca de risco aprimorada |
Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança. |
GCR, GAR, GKE |
GA |
GA |
Requer acesso à API K8S |
Defender para contêineres OU CSPM do Defender |
GCP |
|
Endurecimento do plano de controle |
Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas. |
GKE |
GA |
GA |
Ativado com plano |
Gratuito |
GCP |
|
Proteção da carga de trabalho |
Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas. |
GKE |
GA |
- |
Requer o provisionamento automático da extensão do Azure Policy para o Azure Arc |
Gratuito |
GCP |
| Serviço de Kubernetes do Azure do CIS |
Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS |
GKE |
GA |
- |
Atribuído como um padrão de segurança |
Defender para contêineres OU CSPM do Defender |
GCP |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
|
Descoberta sem agente para o Kubernetes |
Proporciona uma descoberta baseada em API, sem necessidade de ocupação de volume de memória, de clusters do Kubernetes, suas configurações e implantações. |
- |
- |
- |
- |
- |
- |
| Funcionalidades abrangentes de inventário |
Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos. |
- |
- |
- |
- |
- |
- |
| Análise do caminho de ataque |
Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para violar seu ambiente. |
- |
- |
- |
- |
- |
- |
| Busca de risco aprimorada |
Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança. |
- |
- |
- |
- |
- |
- |
|
Endurecimento do plano de controle |
Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas. |
- |
- |
- |
- |
- |
- |
|
Proteção da carga de trabalho |
Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas. |
Cluster do Kubernetes habilitado para Arc |
GA |
- |
Requer o provisionamento automático da extensão do Azure Policy para o Azure Arc |
Defender para contêineres |
Cluster do Kubernetes habilitado para Arc |
| Serviço de Kubernetes do Azure do CIS |
Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS |
VMs habilitadas para Arc |
Preview |
- |
Atribuído como um padrão de segurança |
Defender para contêineres OU CSPM do Defender |
Cluster do Kubernetes habilitado para Arc |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Funcionalidades abrangentes de inventário |
Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos. |
Docker Hub, JFrog Artifactory |
Preview |
Preview |
Criação do conector |
CSPM fundamental ou Defender CSPM OU Defender para Contêineres |
- |
| Análise do caminho de ataque |
Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para violar seu ambiente. |
Docker Hub, JFrog Artifactory |
Preview |
Preview |
Criação do conector |
CSPM do Defender |
- |
| Busca de risco aprimorada |
Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança. |
Hub do Docker, JFrog |
Preview |
Preview |
Criação do conector |
Defender para contêineres OU CSPM do Defender |
|
Recursos de proteção da cadeia de fornecimento de software de contêineres
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes |
AKS 1.32 ou superior |
Preview |
Preview |
Habilitado com plano |
Defender para contêineres OU GPSN do Defender |
Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes |
- |
- |
- |
- |
- |
- |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes |
- |
- |
- |
- |
- |
- |
| Feature |
Description |
Recursos suportados |
Estado da versão do Linux |
Estado da versão do Windows |
Método de ativação |
Plans |
Disponibilidade de nuvens |
| Implantação fechada |
Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes |
- |
- |
- |
- |
- |
- |
Restrições de rede
| Aspect |
Details |
| Suporte a proxy de saída |
Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. Não há suporte para o proxy de saída que espera certificados confiáveis no momento. |
| Clusters com restrições de IP |
Se o cluster do Kubernetes na AWS tiver restrições de IP do painel de controle habilitadas (confira Controle de acesso de ponto de extremidade de cluster do Amazon EKS – Amazon EKS), a configuração de restrição de IP do painel de controle será atualizada para incluir o bloco CIDR do Microsoft Defender para Nuvem. |
| Aspect |
Details |
| Suporte a proxy de saída |
Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. Não há suporte para o proxy de saída que espera certificados confiáveis no momento. |
| Clusters com restrições de IP |
Se o cluster Kubernetes no GCP tiver as restrições de IP do plano de controle habilitadas (consulte GKE – Adicionar redes autorizadas para acesso ao plano de controle), a configuração de restrição de IP do plano de controle é atualizada para incluir o bloco CIDR do Microsoft Defender para Cloud. |
| Aspect |
Details |
| Suporte a proxy de saída |
Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. Não há suporte para o proxy de saída que espera certificados confiáveis no momento. |
Sistemas operacionais do host com suporte
O Defender para Contêineres depende do sensor do Defender para várias funcionalidades. O sensor do Defender tem suporte apenas com o Kernel 5.4 do Linux e posteriores, nos seguintes sistemas operacionais host:
- Amazon Linux 2
- CentOS 8 (o CentOS chegou ao fim do serviço em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
- Debian 10
- Debian 11
- Sistema Operacional Otimizado para Contêiner do Google
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Verifique se o nó do Kubernetes está em execução em um dos sistemas operacionais com suporte verificados. Clusters com sistemas operacionais host sem suporte não recebem os benefícios dos recursos que dependem do sensor do Defender.
Limitações do sensor do Defender
O sensor do Defender no AKS V1.28 e inferior não tem suporte nos nós Arm64.
Próximas etapas