Plexicus Logo

Command Palette

Search for a command to run...

Kontejner Kubernetes zabezpečení

Vaše kontejnery jsou plné zranitelností

  • 87% kontejnerových obrazů obsahuje zranitelnosti vysoké závažnosti
  • Výchozí nastavení Kubernetes umožňuje eskalaci privilegií
  • Registr kontejnérů odhaluje tajemství

Plexicus Container Security nachází a opravuje zranitelnosti kontejnerů od sestavení po běh.

Container Security Lifecy...

Container Security Lifecycle

Kompletní ochrana od sestavení po běh s kontrolou zranitelností v každé fázi životního cyklu kontejneru.

Learn More

Image Vulnerability Scann...

Image Vulnerability Scanning

Hluboká analýza vrstev základních obrazů, závislostí, balíčků OS a knihoven s generováním SBOM.

Learn More

Kubernetes Configuration ...

Kubernetes Configuration Security

CIS Kubernetes Benchmark se 100+ bezpečnostními kontrolami, standardy bezpečnosti podů a automatickou nápravou.

Learn More

Runtime Protection

Runtime Protection

Monitorování chování kontejneru se sledováním procesů, analýzou sítě a detekcí úniku.

Learn More

Supply Chain Security

Supply Chain Security

Integrace registru pro Docker Hub, Harbor, AWS ECR s kontrolou bezpečnosti CI/CD pipeline.

Learn More

Performance Impact Analys...

Performance Impact Analysis

Minimální zatížení s <1% využitím CPU, 20MB paměti na uzel a <50ms latencí sítě.

Learn More

SBOM Generation

SBOM Generation

Software Bill of Materials s kompletním sledováním závislostí, dodržováním licencí a viditelností dodavatelského řetězce.

Learn More

Auto-Remediation Engine

Auto-Remediation Engine

Automatické opravy bezpečnostních konfigurací pro nesprávné konfigurace Kubernetes a porušení politiky.

Learn More

Container Escape Detectio...

Container Escape Detection

Pokročilá detekce úniku s monitorováním syscall, monitorováním montáže a bezpečnostními upozorněními v reálném čase.

Learn More

Registry Integration

Registry Integration

Podpora pro Docker Hub, Harbor, AWS ECR, Azure ACR, GCR s konfigurací webhook a automatickým skenováním.

Learn More

Policy Engine

Policy Engine

Prahové hodnoty CVE, kontroly licencí, detekce tajemství, nejlepší praktiky K8s a prosazování síťové politiky.

Learn More

API Integration

API Integration

REST API pro zjištění zranitelností, integraci webhook a bezpečnostní upozornění v reálném čase.

Learn More

Build Stage

Attack Vector

Base Image Vulnerabilities
  • 367 CVEs v EOL Ubuntu 18.04
  • Nezáplatované systémové knihovny
  • Malware v základních vrstvách
Dockerfile Issues
  • Tajemství zakódovaná v obrazu
  • Běží jako uživatel root
  • Žádné připnutí balíčků

Plexicus Defense

Dockerfile Analysis
  • Skenování zranitelností základního obrazu
  • Detekce a odstranění tajemství
  • Prosazování bezpečnostních osvědčených postupů
SBOM Generation
  • Kompletní mapování závislostí
  • Kontrola souladu s licencemi
  • Ověření dodavatelského řetězce

Registry Stage

Registry Vulnerabilities

Image Vulnerabilities
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • Exponované API klíče a tajemství
Registry Exposure
  • Veřejné registry nesprávné konfigurace
  • Nepodepsané obrazy
  • Injekce malwaru

Registry Security

Vulnerability Scanning
  • Detekce CVE v reálném čase
  • Analýza malwaru
  • Objevování a odstranění tajemství
Image Signing
  • Integrace Cosign
  • Validace SBOM
  • Ověření dodavatelského řetězce

Deploy Stage

Deployment Risks

Kubernetes Misconfigurations
  • Privilegované kontejnery
  • Přístup k síti hostitele
  • Žádné limity zdrojů
RBAC Issues
  • Příliš privilegované servisní účty
  • Slabé síťové politiky
  • Chybějící kontrola přijetí

Policy Enforcement

Admission Controller
  • Standardy bezpečnosti podů
  • Prosazování kvót zdrojů
  • Ověření obrazu
Network Policies
  • Síťování s nulovou důvěrou
  • Kontroly příchozího/odchozího provozu
  • Bezpečnost DNS

Runtime Stage

Runtime Attacks

Privilege Escalation
  • Pokusy o únik z kontejneru
  • Exploity jádra
  • Zneužití binárních souborů SUID
Malicious Activity
  • Těžba kryptoměn
  • Exfiltrace dat
  • Laterální pohyb

Runtime Protection

Behavior Analysis
  • Monitorování procesů
  • Analýza síťového provozu
  • Monitorování integrity souborů
Auto Response
  • Ukončení procesu
  • Izolace kontejneru
  • Generování upozornění

Kontrola reality zranitelnosti kontejneru

Podívejte se, jak Plexicus detekuje a napravuje zranitelnosti kontejnerů v reálném světě

Typická analýza obrazu kontejneru

Interaktivní porovnání terminálu
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# Bezpečný Dockerfile
2FROM ubuntu:22.04  # ✅ Podporovaný základní obraz
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \  # ✅ Připnutí balíčků
5    rm -rf /var/lib/apt/lists/*  # ✅ Snížení velikosti obrazu
6COPY --chown=app:app . /app/  # ✅ Správná oprávnění
7RUN useradd -r app
8USER app  # ✅ Uživatel bez root oprávnění
9EXPOSE 8080  # ✅ Neprivilegovaný port
10# ✅ Tajemství spravována prostřednictvím prostředí
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# Zranitelný Dockerfile
2FROM ubuntu:18.04  # ❌ EOL základní obraz (367 CVE)
3RUN apt-get update  # ❌ Žádné připnutí balíčků
4COPY secrets.json /app/  # ❌ Tajemství v obrazu
5RUN useradd app
6USER root  # ❌ Spuštěno jako root
7EXPOSE 22  # ❌ SSH vystaveno
8ENV API_KEY=sk-1234567890  # ❌ Tajemství v env proměnné
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Výsledky detekce Plexicus:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - Nekonečná smyčka DoS
• Pevně zakódovaný klíč API v proměnné prostředí
• Spuštění uživatele root (UID 0)
• Služba SSH vystavena na portu 22
Auto-Fix Available: 19/23 critical issues

Katastrofy zabezpečení Kubernetes

Porovnání konfigurace kubectl

Vulnerable

  • Privilegovaný kontejner (plný přístup k hostiteli)
  • Spuštění uživatele root
  • Připojený souborový systém hostitele
  • Přístup k síti hostitele
  • Žádné limity zdrojů

Plexicus Zabezpečený

  • Žádná eskalace privilegií
  • Spuštění uživatele bez root práv
  • Souborový systém pouze pro čtení
  • Minimální schopnosti
  • Vynucené limity zdrojů
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ Updated secure version
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ No privilege escalation
11      runAsNonRoot: true              # ✅ Non-root user
12      runAsUser: 1000                 # ✅ Specific UID
13      readOnlyRootFilesystem: true    # ✅ Read-only filesystem
14      capabilities:
15        drop: [ALL]                 # ✅ Drop all capabilities
16        add: [NET_BIND_SERVICE]     # ✅ Only required caps
17    resources:
18      limits:
19        memory: 256Mi               # ✅ Resource limits
20        cpu: 200m
21        ephemeral-storage: 1Gi
22      requests:
23        memory: 128Mi
24        cpu: 100m
25    livenessProbe:                    # ✅ Health checks
26      httpGet:
27        path: /health
28        port: 8080
29    readinessProbe:
30      httpGet:
31        path: /ready
32        port: 8080
33 
Lines: 33Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ Zranitelná verze
9    securityContext:
10      privileged: true  # ❌ Plný přístup k hostiteli
11      runAsUser: 0     # ❌ Uživatelský root
12    volumeMounts:
13    - name: host-root
14      mountPath: /host  # ❌ Přístup k souborovému systému hostitele
15  volumes:
16  - name: host-root
17    hostPath:
18      path: /          # ❌ Připojení kořene hostitele
19  hostNetwork: true    # ❌ Přístup k síti hostitele
20  hostPID: true        # ❌ PID prostor hostitele
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Víceúrovňová bezpečnostní architektura

Komplexní ochrana napříč celým životním cyklem kontejneru s interaktivním monitorováním

Build Stage Security
Analýza Dockerfile, validace základního obrazu a generování SBOM
Registry Protection
Skenování zranitelností, detekce malwaru a objevování tajemství
Deploy Validation
Validace politik, kontroly RBAC a kontrola přijetí
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
Monitorování v reálném čase s procesem, sítí a integritou souborů
Threat Detection
Analýza chování a detekce anomálií pomocí modelů ML
Auto Response
Automatizovaná náprava a reakce na incidenty
94% CIS
Compliance Monitoring
Benchmark CIS Kubernetes a kontinuální validace shody

Kubernetes Policy Engine

Interaktivní správa politik s validací v reálném čase a automatizovanou nápravou

Pod Security Standards

no-privileged-containers

Zabraňuje spuštění privilegovaných kontejnerů

non-root-user

Zajišťuje, že kontejnery běží jako uživatel bez root práv

read-only-filesystem

Vynucuje souborový systém pouze pro čtení

Automatická náprava dostupná

3 porušení politiky lze automaticky opravit jedním kliknutím na nápravu.

Validace síťové politiky

Zjištěné problémy

  • Žádné síťové politiky v produkčním prostoru jmen
  • Neomezená komunikace mezi pody
  • Externí provoz povolen na všech portech

Automaticky generované politiky

  • Vytvořena výchozí politika odmítnutí všeho
  • Pravidla pro příchozí provoz specifická pro aplikace
  • Omezení odchozího provozu databáze

Kontrola RBAC

Analýza servisního účtu

23
Nejmenší privilegia
7
Příliš privilegovaný
2
Přístup správce

Doporučení pro vazbu rolí

  • Odstraňte cluster-admin z výchozího účtu služby
  • Vytvořte role specifické pro jmenný prostor pro aplikace
  • Implementujte přístup just-in-time pro ladění

Řízení přístupu

Stav Webhooku

plexicus-container-policy
Aktivní

Nedávné blokace

Privilegovaný kontejner zablokovánpřed 2 min
Nepodepsaný obraz odmítnutpřed 5 min
Porušení limitu zdrojůpřed 8 min

Bezpečnost softwarového dodavatelského řetězce

Zabezpečte celý svůj softwarový dodavatelský řetězec pomocí komplexní generace SBOM, analýzy závislostí a schopností podepisování kontejnerů.

Active

SBOM Generation

Automatizovaná generace softwarového seznamu materiálů pro úplnou viditelnost závislostí

CycloneDX Format
SPDX Compatible
Real-time Updates
Vulnerability Mapping
Scanning

Dependency Analysis

Hluboká analýza závislostí kontejneru a rizik dodavatelského řetězce

CVE Tracking
License Compliance
Outdated Packages
Security Advisories
Secured

Container Signing

Digitální podepisování a ověřování obrazů kontejnerů pro autenticitu

Cosign Integration
Notary Support
Key Management
Signature Verification
Protected

Supply Chain Attacks

Ochrana proti kompromisům dodavatelského řetězce a škodlivým závislostem

Malware Detection
Typosquatting
Backdoor Analysis
Threat Intelligence
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

CI/CD Integration

Bezproblémově integrujte zabezpečení kontejnerů do vašich stávajících CI/CD pipeline s automatizovaným skenováním, vynucováním politik a zpětnou vazbou v reálném čase.

GitLab CI

Celkový počet skenování:2,341
Poslední spuštění2 min ago
Pipeline:container-security

GitHub Actions

Celkový počet skenování:1,892
Poslední spuštění5 min ago
Pipeline:security-scan

Jenkins

Celkový počet skenování:3,156
Poslední spuštění1 min ago
Pipeline:plexicus-scan

Azure DevOps

Celkový počet skenování:987
Poslední spuštění3 min ago
Pipeline:container-check

Stav živé pipeline

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

Automatizace souladu

Automatizované monitorování souladu a reportování napříč více rámci s vynucováním politik v reálném čase a schopnostmi nápravy.

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Compliance Checks
+12% this month
89%
Auto-Remediated
+5% this month
23
Policy Violations
-18% this month

Dopad na výkon

Minimální výkonová režie s maximálním pokrytím zabezpečení. Náš lehký agent poskytuje komplexní ochranu bez kompromisů ve výkonu.

23MB
na uzel
Využití paměti15%
<1%
průměr
Využití CPU8%
12KB/s
telemetrie
Síť25%
45MB
7denní uchování
Úložiště35%

Runtime Agent Performance

+0.3s
Spuštění kontejneru
+0.1ms
Latence aplikace
-0.02%
Síťová propustnost

Security Processing Statistics

2.3M
Zpracované bezpečnostní události
/den
12
Generované výstrahy
/den
95%
Automaticky vyřešeno
míra úspěšnosti
<2%
Falešně pozitivní
přesnost
99.98% Uptime
Odezva pod sekundu
Monitorování v reálném čase

Začněte dnes

Vyberte si svou roli a začněte s Plexicus Container Security. Zabezpečte své kontejnery od sestavení po běh během několika minut.

DevSecOps Engineers

Nastavení skenování zabezpečení kontejnerů s automatickým prosazováním politiky

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

Integrace API pro prostředí Kubernetes s monitorováním v reálném čase

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

Lokální skenování kontejnerů a detekce zranitelností během vývoje

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

Generování zpráv o shodě a auditních stop napříč rámci

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
ZačítZobrazit zásadyKontaktujte nás

Není vyžadována kreditní karta • 14denní bezplatná zkušební verze • Přístup ke všem funkcím