Plexicus Logo

Command Palette

Search for a command to run...

Contenedor Seguridad de Kubernetes

Tus contenedores están llenos de vulnerabilidades

  • El 87% de las imágenes de contenedores contienen vulnerabilidades de alta gravedad
  • Las configuraciones predeterminadas de Kubernetes permiten la escalada de privilegios
  • Los registros de contenedores exponen secretos

Plexicus Container Security encuentra y soluciona vulnerabilidades de contenedores desde la construcción hasta el tiempo de ejecución.

Ciclo de Vida de Segurida...

Ciclo de Vida de Seguridad de Contenedores

Protección completa desde la construcción hasta el tiempo de ejecución con escaneo de vulnerabilidades en cada etapa del ciclo de vida del contenedor.

Learn More

Escaneo de Vulnerabilidad...

Escaneo de Vulnerabilidades de Imágenes

Análisis profundo de capas de imágenes base, dependencias, paquetes de SO y bibliotecas con generación de SBOM.

Learn More

Seguridad de Configuració...

Seguridad de Configuración de Kubernetes

Benchmark de Kubernetes CIS con más de 100 controles de seguridad, estándares de seguridad de pods y autorremediación.

Learn More

Protección en Tiempo de E...

Protección en Tiempo de Ejecución

Monitoreo del comportamiento de contenedores con seguimiento de procesos, análisis de red y detección de escapes.

Learn More

Seguridad de la Cadena de...

Seguridad de la Cadena de Suministro

Integración de registro para Docker Hub, Harbor, AWS ECR con escaneo de seguridad en la tubería CI/CD.

Learn More

Análisis de Impacto en el...

Análisis de Impacto en el Rendimiento

Sobrecarga mínima con <1% de uso de CPU, 20MB de memoria por nodo y <50ms de latencia de red.

Learn More

Generación de SBOM

Generación de SBOM

Lista de Materiales de Software con seguimiento completo de dependencias, cumplimiento de licencias y visibilidad de la cadena de suministro.

Learn More

Motor de Autorremediación

Motor de Autorremediación

Correcciones automáticas de configuraciones de seguridad para configuraciones incorrectas de Kubernetes y violaciones de políticas.

Learn More

Detección de Escape de Co...

Detección de Escape de Contenedores

Detección avanzada de escapes con monitoreo de syscalls, monitoreo de montajes y alertas de seguridad en tiempo real.

Learn More

Integración de Registro

Integración de Registro

Soporte para Docker Hub, Harbor, AWS ECR, Azure ACR, GCR con configuración de webhook y escaneo automático.

Learn More

Motor de Políticas

Motor de Políticas

Umbrales de CVE, verificaciones de licencias, detección de secretos, mejores prácticas de K8s y aplicación de políticas de red.

Learn More

Integración de API

Integración de API

API REST para hallazgos de vulnerabilidades, integración de webhook y notificaciones de seguridad en tiempo real.

Learn More

Build Stage

Vector de Ataque

Vulnerabilidades de Imagen Base
  • 367 CVEs en EOL Ubuntu 18.04
  • Bibliotecas del sistema sin parches
  • Malware en capas base
Problemas de Dockerfile
  • Secretos codificados en la imagen
  • Ejecutando como usuario root
  • Sin fijación de paquetes

Defensa Plexicus

Análisis de Dockerfile
  • Escaneo de vulnerabilidades de imagen base
  • Detección y eliminación de secretos
  • Aplicación de mejores prácticas de seguridad
Generación de SBOM
  • Mapeo completo de dependencias
  • Verificación de cumplimiento de licencias
  • Validación de la cadena de suministro

Registry Stage

Vulnerabilidades del Registro

Vulnerabilidades de Imagen
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • Claves API y secretos expuestos
Exposición del Registro
  • Configuraciones erróneas de registro público
  • Imágenes sin firmar
  • Inyección de malware

Seguridad del Registro

Escaneo de Vulnerabilidades
  • Detección de CVE en tiempo real
  • Análisis de malware
  • Descubrimiento y eliminación de secretos
Firma de Imágenes
  • Integración con Cosign
  • Validación de SBOM
  • Verificación de la cadena de suministro

Deploy Stage

Riesgos de Despliegue

Configuraciones Erróneas de Kubernetes
  • Contenedores privilegiados
  • Acceso a la red del host
  • Sin límites de recursos
Problemas de RBAC
  • Cuentas de servicio con privilegios excesivos
  • Políticas de red débiles
  • Controles de admisión faltantes

Aplicación de Políticas

Controlador de Admisión
  • Estándares de Seguridad de Pods
  • Aplicación de cuotas de recursos
  • Verificación de imágenes
Políticas de Red
  • Redes de confianza cero
  • Controles de ingreso/egreso
  • Seguridad DNS

Runtime Stage

Ataques en Tiempo de Ejecución

Escalada de Privilegios
  • Intentos de fuga de contenedores
  • Explotaciones del kernel
  • Abuso de binarios SUID
Actividad Maliciosa
  • Minería de criptomonedas
  • Exfiltración de datos
  • Movimiento lateral

Protección en Tiempo de Ejecución

Análisis de Comportamiento
  • Monitoreo de procesos
  • Análisis de tráfico de red
  • Monitoreo de integridad de archivos
Respuesta Automática
  • Terminación de procesos
  • Aislamiento de contenedores
  • Generación de alertas

Verificación de Realidad de Vulnerabilidades de Contenedores

Vea cómo Plexicus detecta y remedia vulnerabilidades de contenedores del mundo real

Análisis Típico de Imágenes de Contenedores

Comparación de Terminal Interactiva
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# Dockerfile Seguro
2FROM ubuntu:22.04  # ✅ Imagen base soportada
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \\  # ✅ Fijación de paquetes
5    rm -rf /var/lib/apt/lists/*  # ✅ Reducir tamaño de imagen
6COPY --chown=app:app . /app/  # ✅ Permisos adecuados
7RUN useradd -r app
8USER app  # ✅ Usuario no root
9EXPOSE 8080  # ✅ Puerto no privilegiado
10# ✅ Secretos gestionados a través del entorno
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# Dockerfile Vulnerable
2FROM ubuntu:18.04  # ❌ Imagen base EOL (367 CVEs)
3RUN apt-get update  # ❌ Sin fijación de paquetes
4COPY secrets.json /app/  # ❌ Secretos en la imagen
5RUN useradd app
6USER root  # ❌ Ejecutando como root
7EXPOSE 22  # ❌ SSH expuesto
8ENV API_KEY=sk-1234567890  # ❌ Secreto en variable de entorno
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Resultados de Detección de Plexicus:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - Bucle infinito DoS
• Clave API codificada en variable de entorno
• Ejecución de usuario root (UID 0)
• Servicio SSH expuesto en el puerto 22
Auto-Fix Available: 19/23 critical issues

Desastres de Seguridad de Kubernetes

comparación de configuración de kubectl

Vulnerable

  • Contenedor privilegiado (acceso completo al host)
  • Ejecución de usuario root
  • Sistema de archivos del host montado
  • Acceso a la red del host
  • Sin límites de recursos

Plexicus Asegurado

  • Sin escalada de privilegios
  • Ejecución de usuario no root
  • Sistema de archivos de solo lectura
  • Capacidades mínimas
  • Límites de recursos aplicados
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ Updated secure version
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ No privilege
11       escalation
12      runAsNonRoot: true              # ✅ Non-root user
13    
14      runAsUser: 1000                 # ✅ Specific UID
15      readOnlyRootFilesystem:
16       true    # ✅ Read-only filesystem
17      capabilities:
18        drop: [ALL]
19                       # ✅ Drop all capabilities
20        add: [NET_BIND_SERVICE]
21           # ✅ Only required caps
22    resources:
23      limits:
24        memory:
25       256Mi               # ✅ Resource limits
26        cpu: 200m
27        ephemeral-storage:
28       1Gi
29      requests:
30        memory: 128Mi
31        cpu: 100m
32    livenessProbe:
33                          # ✅ Health checks
34      httpGet:
35        path: /health
36 
37              port: 8080
38    readinessProbe:
39      httpGet:
40        path: /ready
41 
42              port: 8080
43 
Lines: 43Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ Versión vulnerable
9    securityContext:
10      privileged: true  # ❌ Acceso completo al host
11      runAsUser: 0     # ❌ Usuario root
12    volumeMounts:
13    - name: host-root
14      mountPath: /host  # ❌ Acceso al sistema de archivos del host
15  volumes:
16  - name: host-root
17    hostPath:
18      path: /          # ❌ Montar raíz del host
19  hostNetwork: true    # ❌ Acceso a la red del host
20  hostPID: true        # ❌ Espacio de nombres PID del host
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Arquitectura de Seguridad Multietapa

Protección integral a lo largo de todo el ciclo de vida del contenedor con monitoreo interactivo

Build Stage Security
Análisis de Dockerfile, validación de imagen base y generación de SBOM
Registry Protection
Escaneo de vulnerabilidades, detección de malware y descubrimiento de secretos
Deploy Validation
Validación de políticas, comprobaciones de RBAC y control de admisión
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
Monitoreo en tiempo real con monitoreo de procesos, redes e integridad de archivos
Threat Detection
Análisis de comportamiento y detección de anomalías con modelos de ML
Auto Response
Remediación automatizada y respuesta a incidentes
94% CIS
Compliance Monitoring
Benchmark de Kubernetes de CIS y validación continua de cumplimiento

Kubernetes Policy Engine

Gestión interactiva de políticas con validación en tiempo real y remediación automatizada

Pod Security Standards

no-privileged-containers

Previene la ejecución de contenedores privilegiados

non-root-user

Asegura que los contenedores se ejecuten como usuario no root

read-only-filesystem

Impone un sistema de archivos raíz de solo lectura

Auto-Remediación Disponible

3 violaciones de políticas pueden ser corregidas automáticamente con una remediación de un solo clic.

Validación de Políticas de Red

Problemas Detectados

  • No hay políticas de red en el espacio de nombres de producción
  • Comunicación pod-a-pod sin restricciones
  • Tráfico externo permitido en todos los puertos

Políticas Generadas Automáticamente

  • Política predeterminada de denegación total creada
  • Reglas de ingreso específicas de la aplicación
  • Restricciones de salida de base de datos

Control RBAC

Análisis de Cuentas de Servicio

23
Menor Privilegio
7
Sobreprivilegiado
2
Acceso de Administrador

Recomendaciones de Enlace de Roles

  • Eliminar cluster-admin de la cuenta de servicio predeterminada
  • Crear roles específicos de espacio de nombres para aplicaciones
  • Implementar acceso justo a tiempo para depuración

Control de Admisión

Estado del Webhook

plexicus-container-policy
Activo

Bloqueos Recientes

Contenedor privilegiado bloqueadohace 2 min
Imagen no firmada rechazadahace 5 min
Violación de límite de recursoshace 8 min

Seguridad de la Cadena de Suministro de Software

Asegure toda su cadena de suministro de software con generación integral de SBOM, análisis de dependencias y capacidades de firma de contenedores.

Activo

SBOM Generation

Generación automatizada de la lista de materiales de software para una visibilidad completa de las dependencias

Formato CycloneDX
Compatible con SPDX
Actualizaciones en tiempo real
Mapeo de vulnerabilidades
Escaneando

Dependency Analysis

Análisis profundo de las dependencias de contenedores y riesgos de la cadena de suministro

Seguimiento de CVE
Cumplimiento de licencias
Paquetes desactualizados
Avisos de seguridad
Asegurado

Container Signing

Firma digital y verificación de imágenes de contenedores para autenticidad

Integración con Cosign
Soporte para Notary
Gestión de claves
Verificación de firmas
Protegido

Supply Chain Attacks

Protección contra compromisos de la cadena de suministro y dependencias maliciosas

Detección de malware
Typosquatting
Análisis de puertas traseras
Inteligencia de amenazas
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

Integración CI/CD

Integre sin problemas la seguridad de contenedores en sus pipelines de CI/CD existentes con escaneo automatizado, aplicación de políticas y retroalimentación en tiempo real.

GitLab CI

Total de Escaneos:2,341
Última Ejecución2 min ago
Pipeline:container-security

GitHub Actions

Total de Escaneos:1,892
Última Ejecución5 min ago
Pipeline:security-scan

Jenkins

Total de Escaneos:3,156
Última Ejecución1 min ago
Pipeline:plexicus-scan

Azure DevOps

Total de Escaneos:987
Última Ejecución3 min ago
Pipeline:container-check

Estado del Pipeline en Vivo

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

Automatización de Cumplimiento

Monitoreo y reporte de cumplimiento automatizado a través de múltiples marcos con aplicación de políticas en tiempo real y capacidades de remediación.

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Compliance Checks
+12% this month
89%
Auto-Remediated
+5% this month
23
Policy Violations
-18% this month

Impacto en el Rendimiento

Sobrecarga de rendimiento mínima con máxima cobertura de seguridad. Nuestro agente ligero ofrece protección integral sin comprometer el rendimiento.

23MB
por nodo
Uso de Memoria15%
<1%
promedio
Uso de CPU8%
12KB/s
telemetría
Red25%
45MB
retención de 7 días
Almacenamiento35%

Runtime Agent Performance

+0.3s
Inicio del contenedor
+0.1ms
Latencia de la aplicación
-0.02%
Rendimiento de la red

Security Processing Statistics

2.3M
Eventos de Seguridad Procesados
/día
12
Alertas Generadas
/día
95%
Auto-Resuelto
tasa de éxito
<2%
Falsos Positivos
precisión
99.98% Uptime
Respuesta en menos de un segundo
Monitoreo en tiempo real

Comienza hoy

Elige tu rol y comienza con Plexicus Container Security. Asegura tus contenedores desde la construcción hasta el tiempo de ejecución en minutos.

DevSecOps Engineers

Configuración del escaneo de seguridad de contenedores con aplicación automática de políticas

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

Integración de API para entornos de Kubernetes con monitoreo en tiempo real

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

Escaneo local de contenedores y detección de vulnerabilidades durante el desarrollo

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

Generación de informes de cumplimiento y trazabilidad de auditoría a través de marcos

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
ComenzarVer PolíticasContáctenos

No se requiere tarjeta de crédito • Prueba gratuita de 14 días • Acceso completo a funciones