Compartilhar via


Matriz de suporte de contêineres no Defender para Nuvem

Caution

Este artigo faz referência ao CentOS, uma distribuição do Linux que chegou ao fim do serviço em 30 de junho de 2024. Considere o seu uso e planeje de acordo. Para obter mais informações, confira as Diretrizes de Fim do Suporte do CentOS.

Importante

Todos os recursos do Microsoft Defender para Nuvem serão oficialmente desativados na região do Azure na China em 18 de agosto de 2026. Devido a essa próxima desativação, os clientes do Azure na China não poderão mais integrar novas assinaturas ao serviço. Uma nova assinatura é qualquer assinatura que ainda não foi integrada ao serviço Microsoft Defender para Nuvem antes de 18 de agosto de 2025, data do anúncio de desativação. Para obter mais informações sobre a desativação, veja Comunicado de reprovação do Microsoft Defender para Nuvem no Microsoft Azure Operado pela 21Vianet.

Os clientes devem trabalhar com seus representantes de conta para o Microsoft Azure operado pela 21Vianet para avaliar o impacto dessa aposentadoria em suas próprias operações.

Esse artigo resume as informações de suporte para recursos de contêiner no Microsoft Defender para Nuvem.

Note

  • Os recursos específicos estão em versão prévia. Os Termos Complementares de Versões Prévias do Azure incluem termos legais adicionais aplicáveis aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
  • Somente as versões do AKS, EKS e GKE suportadas pelo fornecedor de nuvem são oficialmente suportadas pelo Defender para Nuvem.

Veja a seguir os recursos fornecidos pelo Defender para contêineres para os ambientes de nuvem e registros de contêiner com suporte.

Características de avaliação de vulnerabilidade

Feature Description Recursos suportados Estado da versão do Linux Estado da versão do Windows Método de ativação Plans Disponibilidade de nuvens
Registro de Contêineres VA VA para imagens em registros de contêiner ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory GA GA Requer acesso ao Registro1 ou a criação de um conector para o Docker Hub/Jfrog Defender para contêineres OU GPSN do Defender Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
VA do contêiner de runtime – Verificação do Registro com base VA de contêineres que executam imagens de registros com suporte ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory GA GA Requer Acesso ao Registro 1 ou Criação do Conector para o Hub do Docker/Jfrog e acesso à API K8S ou Sensor do Defender1 Defender para contêineres OU GPSN do Defender Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
VA do contêiner de runtime VA independente do Registro de imagens em execução de contêiner All Preview - Requer verificação sem agente para máquinas e acesso à API K8S ou sensor do Defender1 Defender para contêineres OU GPSN do Defender Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet

1As nuvens nacionais são habilitadas automaticamente e não podem ser desabilitadas.

Suporte a registros e imagens para avaliação de vulnerabilidade

Aspect Details
Registros e imagens Supported
• Imagens de contêiner no formato do Docker V2
Imagens com especificação de formato de imagem de Open Container Initiative (OCI)
Unsupported
• No momento, imagens super minimalistas, como imagens de rascunhos do Docker, não têm suporte
• Repositórios públicos
• Listas de manifesto
Sistemas operacionais Supported
* Alpine Linux 3.12-3.21
* Red Hat Enterprise Linux 6-9
* CentOS 6-9 (o CentOS chegou ao fim do serviço em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
* Oracle Linux 6-9
* Amazon Linux 1, 2
* openSUSE Leap, openSUSE Tumbleweed
* SUSE Enterprise Linux 11-15
* Debian GNU/Linux 7-12
• Google Distroless (baseado no Debian GNU/Linux 7-12)
* Ubuntu 12.04-24.04
* Fedora 31-37
* Azure Linux 1-3
Windows Server 2016, 2019, 2022.
* Sistema operacional Chainguard/Wolfi OS
* Alma Linux 8.4 ou posterior
* Rocky Linux 8.7 ou posterior
Pacotes específicos de idioma

Supported
* Python
* Node.js
* PHP
* Ruby
* Rust
* .NET
* Java
* Go

Recursos de proteção de runtime

  • Azure
  • AWS
  • GCP
  • Clusters Kubernetes habilitados pelo Arc
Feature Description Recursos suportados Estado da versão do Linux Estado da versão do Windows Método de ativação Plans Disponibilidade de nuvens
Detecção de plano de controle Detecção de atividade suspeita no Kubernetes com base no log de auditoria do Kubernetes AKS GA GA Habilitado com plano Defender para contêineres Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Detecção de carga de trabalho Monitora cargas de trabalho em contêineres para ameaças e fornece alertas para atividades suspeitas AKS GA - Requer sensor do Defender Defender para contêineres Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Detecção de deriva binária Detecta binário do contêiner de runtime da imagem de contêiner AKS GA - Requer sensor do Defender Defender para contêineres Nuvens comerciais
Detecção de DNS Recursos de detecção de DNS AKS Preview Requer o sensor do Defender via Helm Defender para contêineres Nuvens comerciais
Busca avançada em XDR Exibir incidentes e alertas de cluster no Microsoft XDR AKS Versão prévia – atualmente oferece suporte a logs de auditoria e eventos de processo Versão prévia – atualmente dá suporte a logs de auditoria Requer sensor do Defender Defender para contêineres Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Ações de resposta em XDR Fornece correção automatizada e manual no Microsoft XDR AKS Preview - Requer sensor Defender e API de acesso K8S Defender para contêineres Nuvens comerciais e nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Detecção de software mal-intencionado Detecção de malware Nós do AKS GA GA Requer verificação sem agente para computadores Defender para Contêineres ou Plano 2 do Defender para Servidores Nuvens comerciais

Distribuições e configurações do Kubernetes para proteção contra ameaças em runtime no Azure

Aspect Details
Distribuições e configurações do Kubernetes Supported
* Serviço de Kubernetes do Azure (AKS) com RBAC do Kubernetes

Com suporte por meio do Kubernetes habilitado para Arc12
* Serviço de Kubernetes do Azure híbrido
* Kubernetes
* Mecanismo do AKS
* Azure Red Hat OpenShift

1 Todos os clusters Kubernetes certificados pela Cloud Native Computing Foundation (CNCF) devem ser suportados, mas apenas os clusters especificados foram testados no Azure.

2 Para obter proteção do Microsoft Defender para contêineres para seus ambientes, você precisa integrar o Kubernetes habilitado para Azure Arc e habilitar o Defender para contêineres como uma extensão do Arc.

Note

Para obter requisitos adicionais para a proteção de cargas de trabalho do Kubernetes, confira limitações existentes.

Recursos de gerenciamento de postura de segurança

Feature Description Recursos suportados Estado da versão do Linux Estado da versão do Windows Método de ativação Plans Disponibilidade de nuvens
Descoberta sem agente para o Kubernetes1 Proporciona uma descoberta baseada em API, sem necessidade de ocupação de volume de memória, de clusters do Kubernetes, suas configurações e implantações. AKS GA GA Requer acesso à API K8S Defender para contêineres OU CSPM do Defender Nuvens comerciais do Azure
Funcionalidades abrangentes de inventário Permite explorar recursos, pods, serviços, repositórios, imagens e configurações por meio do gerenciador de segurança para monitorar e gerenciar facilmente seus ativos. ACR, AKS GA GA Requer acesso à API K8S Defender para contêineres OU CSPM do Defender Nuvens comerciais do Azure
Análise do caminho de ataque Um algoritmo baseado em grafo que verifica o grafo de segurança de nuvem. As verificações expõem caminhos exploráveis que os invasores podem usar para violar seu ambiente. ACR, AKS GA GA Requer acesso à API K8S CSPM do Defender Nuvens comerciais do Azure
Busca de risco aprimorada Permite que os administradores de segurança pesquisem ativamente problemas de postura em seus ativos conteinerizados por meio de consultas (internas e personalizadas) e insights de segurança no gerenciador de segurança. ACR, AKS GA GA Requer acesso à API K8S Defender para contêineres OU CSPM do Defender Nuvens comerciais do Azure
Fortalecimento do plano de controle1 Avalia continuamente as configurações de seus clusters e as compara com as iniciativas aplicadas às suas assinaturas. Quando encontrar as configurações incorretas, o Defender para Nuvem gerará as recomendações de segurança que estarão disponíveis na página Recomendações do Defender para Nuvem. As recomendações permitem investigar e corrigir os problemas. ACR, AKS GA GA Habilitado com plano Gratuito Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Proteção da carga de trabalho1 Proteja as cargas de trabalho de seus contêineres do Kubernetes com recomendações de práticas recomendadas. AKS GA - Requer o Azure Policy Gratuito Nuvens comerciais

Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet
Serviço de Kubernetes do Azure do CIS Parâmetro de comparação do Serviço de Kubernetes do Azure do CIS AKS GA - Atribuído como um padrão de segurança Defender para contêineres OU CSPM do Defender Nuvens comerciais

1 Esse recurso pode ser habilitado para um cluster individual ao habilitar o Defender para contêineres no nível de recurso do cluster.

Recursos de proteção da cadeia de fornecimento de software de contêineres

Feature Description Recursos suportados Estado da versão do Linux Estado da versão do Windows Método de ativação Plans Disponibilidade de nuvens
Implantação fechada Implantação restrita de imagens de contêiner em seu ambiente do Kubernetes AKS 1.32 ou superior Preview Preview Habilitado com plano Defender para contêineres OU GPSN do Defender Nuvens comerciais Nuvens nacionais: Azure Governamental, Azure operado pela 21Vianet

Restrições de rede

Aspect Details
Suporte a proxy de saída Há suporte para proxy de saída sem autenticação e proxy de saída com autenticação básica. Não há suporte para o proxy de saída que espera certificados confiáveis no momento.
Clusters com restrições de IP Se o cluster do Kubernetes na AWS tiver restrições de IP do painel de controle habilitadas (confira Controle de acesso de ponto de extremidade de cluster do Amazon EKS – Amazon EKS), a configuração de restrição de IP do painel de controle será atualizada para incluir o bloco CIDR do Microsoft Defender para Nuvem.

Sistemas operacionais do host com suporte

O Defender para Contêineres depende do sensor do Defender para várias funcionalidades. O sensor do Defender tem suporte apenas com o Kernel 5.4 do Linux e posteriores, nos seguintes sistemas operacionais host:

  • Amazon Linux 2
  • CentOS 8 (o CentOS chegou ao fim do serviço em 30 de junho de 2024. Para obter mais informações, veja a orientação CentOS End Of Life.)
  • Debian 10
  • Debian 11
  • Sistema Operacional Otimizado para Contêiner do Google
  • Azure Linux 1.0
  • Azure Linux 2.0
  • Red Hat Enterprise Linux 8
  • Ubuntu 16.04
  • Ubuntu 18.04
  • Ubuntu 20.04
  • Ubuntu 22.04

Verifique se o nó do Kubernetes está em execução em um dos sistemas operacionais com suporte verificados. Clusters com sistemas operacionais host sem suporte não recebem os benefícios dos recursos que dependem do sensor do Defender.

Limitações do sensor do Defender

O sensor do Defender no AKS V1.28 e inferior não tem suporte nos nós Arm64.

Próximas etapas