Plexicus Logo

Command Palette

Search for a command to run...

Container Kubernetes-Sicherheit

Ihre Container sind voller Schwachstellen

  • 87% der Container-Images enthalten Schwachstellen mit hoher Schwere
  • Kubernetes-Standardeinstellungen erlauben Privilegieneskalation
  • Container-Registries legen Geheimnisse offen

Plexicus Container Security findet und behebt Container-Schwachstellen vom Build bis zur Laufzeit.

Container-Sicherheitslebe...

Container-Sicherheitslebenszyklus

Umfassender Schutz vom Build bis zur Laufzeit mit Schwachstellenscans in jeder Phase des Container-Lebenszyklus.

Learn More

Image-Schwachstellenscann...

Image-Schwachstellenscanning

Tiefenanalyse von Basis-Images, Abhängigkeiten, Betriebssystempaketen und Bibliotheken mit SBOM-Generierung.

Learn More

Kubernetes-Konfigurations...

Kubernetes-Konfigurationssicherheit

CIS Kubernetes Benchmark mit über 100 Sicherheitskontrollen, Pod-Sicherheitsstandards und automatischer Behebung.

Learn More

Laufzeitschutz

Laufzeitschutz

Überwachung des Containerverhaltens mit Prozessverfolgung, Netzwerkanalyse und Ausbruchserkennung.

Learn More

Lieferkettensicherheit

Lieferkettensicherheit

Registry-Integration für Docker Hub, Harbor, AWS ECR mit Sicherheitsüberprüfung der CI/CD-Pipeline.

Learn More

Leistungsbeeinflussungsan...

Leistungsbeeinflussungsanalyse

Minimaler Overhead mit <1% CPU-Auslastung, 20MB Speicher pro Knoten und <50ms Netzwerkverzögerung.

Learn More

SBOM-Generierung

SBOM-Generierung

Software-Stückliste mit vollständiger Abhängigkeitsverfolgung, Lizenzkonformität und Transparenz der Lieferkette.

Learn More

Auto-Remediation-Engine

Auto-Remediation-Engine

Automatische Sicherheitskonfigurationskorrekturen für Kubernetes-Fehlkonfigurationen und Richtlinienverstöße.

Learn More

Container-Ausbruchserkenn...

Container-Ausbruchserkennung

Erweiterte Ausbruchserkennung mit Syscall-Überwachung, Mount-Überwachung und Echtzeit-Sicherheitswarnungen.

Learn More

Registry-Integration

Registry-Integration

Unterstützung für Docker Hub, Harbor, AWS ECR, Azure ACR, GCR mit Webhook-Konfiguration und automatischem Scannen.

Learn More

Richtlinien-Engine

Richtlinien-Engine

CVE-Schwellenwerte, Lizenzprüfungen, Geheimniserkennung, K8s-Best-Practices und Durchsetzung von Netzwerkrichtlinien.

Learn More

API-Integration

API-Integration

REST-API für Schwachstellenfunde, Webhook-Integration und Echtzeit-Sicherheitsbenachrichtigungen.

Learn More

Build Stage

Angriffspunkt

Basis-Image-Schwachstellen
  • 367 CVEs in EOL Ubuntu 18.04
  • Ungepatchte Systembibliotheken
  • Malware in Basisschichten
Dockerfile-Probleme
  • Geheimnisse im Image fest codiert
  • Ausführung als Root-Benutzer
  • Keine Paketfixierung

Plexicus-Verteidigung

Dockerfile-Analyse
  • Basis-Image-Schwachstellenscan
  • Geheimniserkennung und -entfernung
  • Durchsetzung von Sicherheitsbestimmungen
SBOM-Erstellung
  • Vollständige Abhängigkeitszuordnung
  • Lizenzkonformitätsprüfung
  • Validierung der Lieferkette

Registry Stage

Registry-Schwachstellen

Image-Schwachstellen
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • Offene API-Schlüssel und Geheimnisse
Registry-Exposition
  • Fehlkonfigurationen in öffentlichen Registrys
  • Unsigned Images
  • Malware-Injektion

Registry-Sicherheit

Schwachstellenscanning
  • Echtzeit-CVE-Erkennung
  • Malware-Analyse
  • Geheimniserkennung und -entfernung
Image-Signierung
  • Cosign-Integration
  • SBOM-Validierung
  • Verifizierung der Lieferkette

Deploy Stage

Bereitstellungsrisiken

Kubernetes-Fehlkonfigurationen
  • Privilegierte Container
  • Zugriff auf das Host-Netzwerk
  • Keine Ressourcengrenzen
RBAC-Probleme
  • Überprivilegierte Dienstkonten
  • Schwache Netzwerkrichtlinien
  • Fehlende Zulassungskontrollen

Richtliniendurchsetzung

Zulassungskontroller
  • Pod-Sicherheitsstandards
  • Durchsetzung von Ressourcenkontingenten
  • Image-Verifizierung
Netzwerkrichtlinien
  • Zero-Trust-Netzwerk
  • Ingress/Egress-Kontrollen
  • DNS-Sicherheit

Runtime Stage

Laufzeitangriffe

Privilegieneskalation
  • Versuche des Container-Ausbruchs
  • Kernel-Exploits
  • Missbrauch von SUID-Binaries
Bösartige Aktivitäten
  • Kryptowährungs-Mining
  • Datenexfiltration
  • Seitliche Bewegung

Laufzeitschutz

Verhaltensanalyse
  • Prozessüberwachung
  • Netzwerkverkehrsanalyse
  • Überwachung der Dateiintegrität
Automatische Reaktion
  • Prozessbeendigung
  • Container-Isolation
  • Alarmgenerierung

Container-Schwachstellen-Realitätscheck

Sehen Sie, wie Plexicus echte Container-Schwachstellen erkennt und behebt

Typische Container-Image-Analyse

Interaktiver Terminalvergleich
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# Sicheres Dockerfile
2FROM ubuntu:22.04  # ✅ Unterstütztes Basis-Image
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \\  # ✅ Paketfixierung
5    rm -rf /var/lib/apt/lists/*  # ✅ Bildgröße reduzieren
6COPY --chown=app:app . /app/  # ✅ Richtige Berechtigungen
7RUN useradd -r app
8USER app  # ✅ Nicht-Root-Benutzer
9EXPOSE 8080  # ✅ Nicht-privilegierter Port
10# ✅ Geheimnisse über Umgebung verwaltet
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# Verwundbares Dockerfile
2FROM ubuntu:18.04  # ❌ EOL-Basis-Image (367 CVEs)
3RUN apt-get update  # ❌ Keine Paketfixierung
4COPY secrets.json /app/  # ❌ Geheimnisse im Image
5RUN useradd app
6USER root  # ❌ Als Root ausführen
7EXPOSE 22  # ❌ SSH freigelegt
8ENV API_KEY=sk-1234567890  # ❌ Geheimnis in Umgebungsvariable
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Plexicus-Erkennungsergebnisse:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - Endlosschleife DoS
• Harcoded API-Schlüssel in Umgebungsvariable
• Root-Benutzer-Ausführung (UID 0)
• SSH-Dienst auf Port 22 exponiert
Auto-Fix Available: 19/23 critical issues

Kubernetes-Sicherheitskatastrophen

Vergleich der kubectl-Konfiguration

Vulnerable

  • Privilegierter Container (voller Hostzugriff)
  • Root-Benutzer-Ausführung
  • Host-Dateisystem eingehängt
  • Host-Netzwerkzugriff
  • Keine Ressourcenlimits

Plexicus Gesichert

  • Keine Privilegieneskalation
  • Nicht-Root-Benutzer-Ausführung
  • Nur-Lese-Dateisystem
  • Minimale Fähigkeiten
  • Ressourcenlimits durchgesetzt
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ Aktualisierte sichere Version
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ Keine Privilegieneskalation
11      runAsNonRoot: true              # ✅ Nicht-Root-Benutzer
12      runAsUser: 1000                 # ✅ Spezifische UID
13      readOnlyRootFilesystem:
14 true    # ✅ Schreibgeschütztes Dateisystem
15      capabilities:
16        drop: [ALL]
17                 # ✅ Alle Fähigkeiten entfernen
18        add: [NET_BIND_SERVICE]
19     # ✅ Nur erforderliche Fähigkeiten
20    resources:
21      limits:
22        memory:
23 256Mi               # ✅ Ressourcenlimits
24        cpu: 200m
25        ephemeral-storage:
26 1Gi
27      requests:
28        memory: 128Mi
29        cpu: 100m
30    livenessProbe:
31                    # ✅ Gesundheitschecks
32      httpGet:
33        path: /health
34 
35        port: 8080
36    readinessProbe:
37      httpGet:
38        path: /ready
39 
40        port: 8080
41 
Lines: 41Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5      spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ Verwundbare Version
9          securityContext:
10      privileged: true  # ❌ Voller Host-Zugriff
11      runAsUser:       0     # ❌ Root-Benutzer
12    volumeMounts:
13    - name: host-root
14      mountPath:       /host  # ❌ Zugriff auf das Host-Dateisystem
15  volumes:
16  - name: host-root
17    hostPath:
18            path: /          # ❌ Host-Root einbinden
19  hostNetwork: true    # ❌ Host-       Netzwerkzugriff
20  hostPID: true        # ❌ Host-PID-Namespace
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Mehrstufige Sicherheitsarchitektur

Umfassender Schutz über den gesamten Container-Lebenszyklus mit interaktivem Monitoring

Build Stage Security
Dockerfile-Analyse, Basisbildvalidierung und SBOM-Generierung
Registry Protection
Schwachstellenscans, Malware-Erkennung und Geheimnisentdeckung
Deploy Validation
Richtlinienvalidierung, RBAC-Überprüfungen und Zulassungskontrolle
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
Echtzeitüberwachung mit Prozess-, Netzwerk- und Dateiintegritätsüberwachung
Threat Detection
Verhaltensanalyse und Anomalieerkennung mit ML-Modellen
Auto Response
Automatisierte Behebung und Vorfallreaktion
94% CIS
Compliance Monitoring
CIS Kubernetes Benchmark und kontinuierliche Compliance-Validierung

Kubernetes Policy Engine

Interaktive Richtlinienverwaltung mit Echtzeitvalidierung und automatisierter Behebung

Pod-Sicherheitsstandards

no-privileged-containers

Verhindert die Ausführung privilegierter Container

non-root-user

Stellt sicher, dass Container als Nicht-Root-Benutzer ausgeführt werden

read-only-filesystem

Erzwingt ein schreibgeschütztes Root-Dateisystem

Automatische Behebung verfügbar

3 Richtlinienverstöße können mit einer Ein-Klick-Behebung automatisch behoben werden.

Validierung der Netzwerkrichtlinie

Erkannte Probleme

  • Keine Netzwerkrichtlinien im Produktions-Namespace
  • Unbeschränkte Pod-zu-Pod-Kommunikation
  • Externer Datenverkehr auf allen Ports erlaubt

Automatisch generierte Richtlinien

  • Standardrichtlinie "Alles verweigern" erstellt
  • App-spezifische Eingangsregeln
  • Datenbankausgangsbeschränkungen

RBAC-Kontrolle

Analyse des Dienstkontos

23
Geringstes Privileg
7
Überprivilegiert
2
Admin-Zugriff

Empfehlungen zur Rollenbindung

  • Entfernen Sie cluster-admin vom Standarddienstkonto
  • Erstellen Sie namespacespezifische Rollen für Anwendungen
  • Implementieren Sie Just-in-Time-Zugriff für Debugging

Zulassungskontrolle

Webhook-Status

plexicus-container-policy
Aktiv

Kürzliche Blockierungen

Privilegierter Container blockiertvor 2 Min.
Unsigned-Image abgelehntvor 5 Min.
Ressourcenlimitverletzungvor 8 Min.

Sicherheit der Software-Lieferkette

Sichern Sie Ihre gesamte Software-Lieferkette mit umfassender SBOM-Erstellung, Abhängigkeitsanalyse und Container-Signierfunktionen.

Aktiv

SBOM Generation

Automatisierte Erstellung von Software-Stücklisten für vollständige Abhängigkeitsübersicht

CycloneDX Format
SPDX Kompatibel
Echtzeit-Updates
Schwachstellenzuordnung
Scannen

Dependency Analysis

Tiefenanalyse von Container-Abhängigkeiten und Risiken in der Lieferkette

CVE-Verfolgung
Lizenzkonformität
Veraltete Pakete
Sicherheitswarnungen
Gesichert

Container Signing

Digitale Signierung und Verifizierung von Container-Images zur Authentizität

Cosign-Integration
Notary-Unterstützung
Schlüsselverwaltung
Signaturüberprüfung
Geschützt

Supply Chain Attacks

Schutz vor Kompromittierungen der Lieferkette und bösartigen Abhängigkeiten

Malware-Erkennung
Typosquatting
Hintertürenanalyse
Bedrohungsinformationen
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

CI/CD-Integration

Nahtlose Integration der Containersicherheit in Ihre bestehenden CI/CD-Pipelines mit automatisiertem Scannen, Richtliniendurchsetzung und Echtzeit-Feedback.

GitLab CI

Gesamtanzahl Scans:2,341
Letzter Lauf2 min ago
Pipeline:container-security

GitHub Actions

Gesamtanzahl Scans:1,892
Letzter Lauf5 min ago
Pipeline:security-scan

Jenkins

Gesamtanzahl Scans:3,156
Letzter Lauf1 min ago
Pipeline:plexicus-scan

Azure DevOps

Gesamtanzahl Scans:987
Letzter Lauf3 min ago
Pipeline:container-check

Live-Pipeline-Status

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

Compliance-Automatisierung

Automatisierte Compliance-Überwachung und -Berichterstattung über mehrere Frameworks mit Echtzeit-Richtliniendurchsetzung und Remediationsfähigkeiten.

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Compliance Checks
+12% this month
89%
Auto-Remediated
+5% this month
23
Policy Violations
-18% this month

Leistungsbeeinflussung

Minimaler Leistungsaufwand mit maximaler Sicherheitsabdeckung. Unser leichtgewichtiger Agent bietet umfassenden Schutz, ohne die Leistung zu beeinträchtigen.

23MB
pro Knoten
Speicherverbrauch15%
<1%
Durchschnitt
CPU-Auslastung8%
12KB/s
Telemetrie
Netzwerk25%
45MB
7-Tage-Aufbewahrung
Speicher35%

Runtime Agent Performance

+0.3s
Container-Startzeit
+0.1ms
Anwendungs-Latenz
-0.02%
Netzwerkdurchsatz

Security Processing Statistics

2.3M
Verarbeitete Sicherheitsereignisse
/Tag
12
Generierte Warnungen
/Tag
95%
Automatisch gelöst
Erfolgsquote
<2%
Falsch Positive
Genauigkeit
99,98% Betriebszeit
Antwort in unter einer Sekunde
Echtzeitüberwachung

Heute starten

Wählen Sie Ihre Rolle und beginnen Sie mit Plexicus Container Security. Sichern Sie Ihre Container in wenigen Minuten vom Build bis zur Laufzeit.

DevSecOps Engineers

Einrichtung der Containersicherheitsscans mit automatischer Richtliniendurchsetzung

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

API-Integration für Kubernetes-Umgebungen mit Echtzeitüberwachung

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

Lokales Containerscanning und Schwachstellenerkennung während der Entwicklung

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

Compliance-Berichterstattung und Erstellung von Prüfpfaden über verschiedene Rahmenwerke

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
Erste SchritteRichtlinien anzeigenKontaktieren Sie uns

Keine Kreditkarte erforderlich • 14-tägige kostenlose Testversion • Voller Funktionszugriff