Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Tutte le Microsoft Defender per il cloud funzionalità verranno ritirati ufficialmente nel Azure nella regione Cina il 1° ottobre 2026. A causa di questo prossimo ritiro, i clienti di Azure in Cina non sono più in grado di eseguire l'onboarding di nuove sottoscrizioni al servizio. Una nuova sottoscrizione è una sottoscrizione che non era ancora stata integrata nel servizio Microsoft Defender per Cloud prima del 18 agosto 2025, data dell'annuncio del ritiro. Per altre informazioni sul ritiro, vedere Annuncio relativo alla deprecazione di Microsoft Defender per il cloud in Microsoft Azure gestito da 21Vianet.
I clienti devono collaborare con i rappresentanti dell'account per Microsoft Azure gestito da 21Vianet per valutare l'impatto di questo ritiro sulle proprie operazioni.
Questo articolo riepiloga le informazioni sul supporto per le funzionalità dei contenitori in Microsoft Defender per il cloud.
Note
- Le funzionalità specifiche sono in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono altri termini legali che si applicano a funzionalità di Azure in versione beta, anteprima o altrimenti non ancora disponibili a livello generale.
- Defender per il cloud supporta ufficialmente solo le versioni di AKS, EKS e GKE supportate dal fornitore del cloud.
La tabella seguente elenca le funzionalità fornite da Defender per contenitori per gli ambienti cloud e i registri contenitori supportati.
Disponibilità del piano Microsoft Defender per i contenitori
| Aspect | dettagli |
|---|---|
| Stato di rilascio: | Disponibilità generale (GA) Alcune funzionalità sono in anteprima. Per un elenco completo, vedere le tabelle seguenti |
| Prezzi: | Microsoft Defender per contenitori viene fatturato secondo quanto mostrato nella pagina dei prezzi. È anche possibile stimare i costi con il calcolatore dei costi di Defender per il cloud. |
| Ruoli e autorizzazioni necessari: |
Per distribuire i componenti necessari, vedere le autorizzazioni per ognuno dei componenti L'amministratore della sicurezza può ignorare gli avvisi * Il lettore di sicurezza può visualizzare i risultati della valutazione della vulnerabilità Vedere anche Ruoli per la correzione e Ruoli e permessi di Registro Azure Container |
Funzionalità di valutazione della vulnerabilità
| Feature | Description | Risorse supportate | Stato della versione Linux | Stato della versione di Windows | Metodo di abilitazione | Plans | Disponibilità dei cloud |
|---|---|---|---|---|---|---|---|
| Registro dei contenitori VA | Attivazione di contratti multilicenza nei registri contenitori | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | GA | GA | Richiede l'accesso al Registro di sistema1 o la creazione del connettore per Docker Hub/JFrog | Defender per contenitori o Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Contenitore di runtime VA - Analisi del Registro basata su | Valutazione della vulnerabilità dei contenitori che eseguono immagini dai registri supportati. | ACR, ECR, GAR, GCR, Docker Hub, JFrog Artifactory | GA | GA | Richiede accesso al Registro1 o creazione del connettore per Docker Hub/JFrog e accesso all'API K8S o sensore Defender1 | Defender per contenitori o Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Contenitore di runtime attivazione di contratti multilicenza | Attivazione di contratti multilicenza agnostica dei contenitori che eseguono immagini | Tutti | GA | - | Richiede scansione senza agente per le macchine e l'accesso API K8S o il sensore Defender1 | Defender per contenitori o Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Nodo di Runtime VA | Valutazione della vulnerabilità del nodo Kubernetes | Nodi del servizio Azure Kubernetes | GA | GA | Richiede l'analisi senza agente per i computer | Defender per contenitori o Defender per server Piano 2 o Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
1I cloud nazionali vengono abilitati automaticamente e non possono essere disabilitati.
Supporto di registri e immagini per la valutazione della vulnerabilità
| Aspect | dettagli |
|---|---|
| Registri e immagini |
Supported * Immagini del contenitore in formato Docker V2 Immagini con specifica del formato di immagine Open Container Initiative (OCI) Unsupported * Immagini super-minimaliste, ad esempio immagini docker scratch non sono attualmente supportate * Repository pubblici * Elenchi di manifesti |
| Sistemi operativi |
Supported * Alpine Linux 3.12-3.22 * Red Hat Enterprise Linux 6-9 * CentOS 6-9 (CentOS è End Of Service a partire dal 30 giugno 2024. Per altre informazioni, vedere le linee guida per la fine della vita di CentOS. * Oracle Linux 6-9 * Amazon Linux 1, 2 * openSUSE Leap, openSUSE Tumbleweed * SUSE Enterprise Linux 11-15 * Debian GNU/Linux 7-12 * Google Distroless (basato su Debian GNU/Linux 7-12) * Ubuntu 12.04-24.04 * Fedora 31-37 * Azure Linux 1-3 * Windows server 2016, 2019, 2022 * Sistema operativo Chainguard/Wolfi OS * Alma Linux 8.4 o versione successiva * Rocky Linux 8.7 o versione successiva * Minimus * Sistema operativo Foton 2.0-5.0 * Docker Hardened Images (DHI) |
| Pacchetti specifici della lingua |
Supported *Pitone * Node.js *PHP *Rubino *Rust * .NET * Java *Vai |
Funzionalità di protezione del runtime
| Feature | Description | Risorse supportate | Stato della versione Linux | Stato della versione di Windows | Metodo di abilitazione | Plans | Disponibilità dei cloud |
|---|---|---|---|---|---|---|---|
| Ricerca avanzata in XDR | Visualizzare gli eventi imprevisti e gli avvisi del cluster in Microsoft XDR | AKS | GA | GA | Richiede sensore di Defender | Defender per contenitori | Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Software anti-malware | Rilevamento di malware | AKS | GA | - | Richiede sensore Defender tramite Helm | Defender per contenitori | Servizi cloud commerciali |
| Rilevamento della deriva binaria | Rileva il file binario del contenitore di runtime dall'immagine del contenitore | AKS | GA | - | Richiede sensore di Defender | Defender per contenitori | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Blocco della deriva binaria | Blocca la deriva binaria nei contenitori di runtime | AKS | Preview | - | Richiede sensore Defender tramite Helm | Defender per contenitori | Servizi cloud commerciali |
| Rilevamento del piano di controllo | Rilevamento di attività sospette per Kubernetes in base all'audit trail di Kubernetes | AKS | GA | GA | Abilitato con piano | Defender per contenitori | Cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Rilevamento DNS | Rileva attività DNS sospette dai carichi di lavoro del contenitore | AKS | GA | - | Richiede sensore Defender tramite Helm | Defender per contenitori | Servizi cloud commerciali |
| Rilevamento malware | Rilevamento di malware | Nodi del servizio Azure Kubernetes | GA | GA | Richiede l'analisi senza agente per i computer | Defender per contenitori o Defender per server Piano 2 | - |
| Azioni di risposta in XDR | Fornisce correzioni automatiche e manuali in Microsoft XDR | AKS | Preview | - | Richiede il sensore Defender e l'API di accesso K8S | Defender per contenitori | Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Rilevamento del carico di lavoro | Monitora i carichi di lavoro in contenitori per le minacce e invia avvisi ad attività sospette | AKS | GA | - | Richiede sensore di Defender | Defender per contenitori | Cloud commerciali e cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
Distribuzioni e configurazioni di Kubernetes per la protezione dalle minacce di runtime in Azure
| Aspect | dettagli |
|---|---|
| Distribuzioni e configurazioni Kubernetes |
Supported * Servizio Azure Kubernetes (AKS) con Kubernetes RBAC Supportato tramite Kubernetes abilitato per Arc12 * servizio Azure Kubernetes ibrido * Kubernetes * Motore AKS |
1 I cluster Kubernetes certificati CLOUD Native Computing Foundation (CNF) devono essere supportati, ma solo i cluster specificati vengono testati in Azure.
2 Per ottenere la protezione di Microsoft Defender per i contenitori per i tuoi ambienti, è necessario eseguire l'onboarding di Azure Arc-enabled Kubernetes e abilitare Defender per i contenitori come estensione Arc.
Note
Per altri requisiti per la protezione del carico di lavoro Kubernetes, vedere limitazioni esistenti.
Funzionalità di gestione del comportamento di sicurezza
| Feature | Description | Risorse supportate | Stato della versione Linux | Stato della versione di Windows | Metodo di abilitazione | Plans | Disponibilità dei cloud |
|---|---|---|---|---|---|---|---|
| Scoperta senza agente in Kubernetes1 | Offre una scoperta basata su API dei cluster Kubernetes, delle loro configurazioni e distribuzioni senza impatto. | AKS | GA | GA | Richiede accesso all'API K8S | Defender per contenitori OR Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Funzionalità complete di inventario | Consente di esplorare risorse, pod, servizi, repository, immagini e configurazioni tramite Esploratore sicurezza per monitorare e gestire facilmente gli asset. | ACR (Registro Azure Container), AKS (servizio Azure Kubernetes) | GA | GA | Richiede accesso all'API K8S | Defender per contenitori OR Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Analisi del percorso di attacco | Un algoritmo a base di grafi che scansiona il grafo della sicurezza cloud. Le analisi espongono percorsi sfruttabili che gli attori malintenzionati potrebbero usare per violare l'ambiente. | ACR (Registro Azure Container), AKS (servizio Azure Kubernetes) | GA | GA | Richiede accesso all'API K8S | Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Ricerca avanzata dei rischi | Consente agli amministratori della sicurezza di cercare attivamente problemi di comportamento negli asset in contenitori tramite query (predefinite e personalizzate) e informazioni dettagliate sulla sicurezza in Esploratore sicurezza. | ACR (Registro Azure Container), AKS (servizio Azure Kubernetes) | GA | GA | Richiede accesso all'API K8S | Defender per contenitori OR Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Rafforzamento del piano di controllo1 | Valuta continuamente le configurazioni dei cluster e le confronta con le iniziative applicate alle sottoscrizioni. Quando rileva errori di configurazione, Defender per il cloud genera raccomandazioni sulla sicurezza disponibili nella pagina Raccomandazioni di Defender per il cloud. Le raccomandazioni consentono di analizzare e correggere i problemi. | ACR (Registro Azure Container), AKS (servizio Azure Kubernetes) | GA | GA | Abilitato con piano | Gratuito | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Protezione avanzata del carico di lavoro1 | Proteggere i carichi di lavoro dei contenitori Kubernetes con raccomandazioni sulle procedure consigliate. | AKS | GA | - | Richiede Criteri di Azure | Gratuito | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
| Servizio Azure Kubernetes CIS | CIS servizio Azure Kubernetes Benchmark | AKS | GA | - | Richiede l'accesso all'API K8S e lo standard di sicurezza assegnato | Defender per contenitori OR Defender CSPM | Servizi cloud commerciali Cloud nazionali: Azure per enti pubblici, Azure gestito da 21Vianet |
1 Questa funzionalità può essere abilitata per un singolo cluster quando si abilita Defender per contenitori a livello di risorsa cluster.
Funzionalità di protezione della catena di approvvigionamento del software dei contenitori
| Feature | Description | Risorse supportate | Stato della versione Linux | Stato della versione di Windows | Metodo di abilitazione | Disponibilità del cloud |
|---|---|---|---|---|---|---|
| Distribuzione controllata | Distribuzione controllata delle immagini del contenitore nell'ambiente Kubernetes | Servizio Azure Kubernetes 1.31 o versione successiva (incluso il servizio Azure Kubernetes automatico)1 | GA | - | Richiede il sensore Defender, il controllo della sicurezza, i risultati della sicurezza e l'accesso al Registro di sistema. | Servizi cloud commerciali |
| Applicazione di una configurazione errata di Kubernetes | Controlla o blocca le distribuzioni Kubernetes che non soddisfano Microsoft regole di procedure consigliate per la sicurezza | AKS | GA | - | Richiede l'accesso all'API di Kubernetes. Per la distribuzione manuale, Helm è supportato. | Servizi cloud commerciali |
1 Nei cluster automatici di AKS, il sensore Defender deve essere installato usando Helm nel namespace kube-system. L'installazione nello spazio dei mdc nomi e la distribuzione del componente aggiuntivo non sono supportate per una distribuzione a fasi.
Restrizioni di rete
| Aspect | dettagli |
|---|---|
| Supporto proxy per traffico in uscita | I proxy in uscita senza autenticazione e i proxy in uscita con autenticazione di base sono supportati. Il proxy in uscita che prevede certificati attendibili non è attualmente supportato. |
| Cluster con restrizioni IP | Se il cluster Kubernetes in AWS ha le restrizioni IP del piano di controllo abilitate (vedere controllo dell'accesso al punto terminale del cluster Amazon EKS - Amazon EKS), la configurazione delle restrizioni IP del piano di controllo viene aggiornata per includere il blocco CIDR di Microsoft Defender per il cloud. |
Sistemi operativi host supportati
Defender per i contenitori si basa sul sensore Defender per diverse funzionalità. Il sensore Defender è supportato solo con Linux Kernel 5.4 e versioni successive, nei sistemi operativi host seguenti:
- Amazon Linux 2
- AWS Bottlerocket (provisioning effettuato solo tramite Helm)
- CentOS 8 (CentOS ha raggiunto la fine del servizio il 30 giugno 2024). Per altre informazioni, vedere le linee guida per la fine della vita di CentOS.
- Debian 10
- Debian 11
- Sistema operativo ottimizzato per Google Container
- Azure Linux 1.0
- Azure Linux 2.0
- Red Hat Enterprise Linux 8
- Ubuntu 16.04
- Ubuntu 18.04
- Ubuntu 20.04
- Ubuntu 22.04
Assicurarsi che il nodo Kubernetes venga eseguito in uno di questi sistemi operativi verificati. I cluster con sistemi operativi host non supportati non ottengono i vantaggi delle funzionalità che si basano sul sensore Defender.
Limitazioni dei sensori di Defender
Il sensore Defender nel servizio Azure Kubernetes versione 1.28 e versioni precedenti non supporta i nodi Arm64.
Passaggi successivi
- Informazioni su come Defender per il cloud gestisce e protegge i dati.
- Esaminare le piattaforme che supportano Defender per il cloud.