Plexicus Logo

Command Palette

Search for a command to run...

Kontti- ja Kubernetes-turvallisuus

Konttisi ovat täynnä haavoittuvuuksia

  • 87 % konttikuvista sisältää vakavia haavoittuvuuksia
  • Kubernetesin oletusasetukset mahdollistavat oikeuksien laajentamisen
  • Konttirekisterit paljastavat salaisuuksia

Plexicus Container Security löytää ja korjaa konttien haavoittuvuudet rakentamisesta aina suoritusvaiheeseen asti.

Kontin turvallisuuden eli...

Kontin turvallisuuden elinkaari

Täydellinen suoja rakentamisesta suoritukseen haavoittuvuuksien skannauksella jokaisessa kontin elinkaaren vaiheessa.

Learn More

Kuvan haavoittuvuusskanna...

Kuvan haavoittuvuusskannaus

Perusteellinen kerrosanalyysi peruskuvista, riippuvuuksista, käyttöjärjestelmäpaketeista ja kirjastoista SBOM-generoinnilla.

Learn More

Kubernetes-konfiguraation...

Kubernetes-konfiguraation turvallisuus

CIS Kubernetes Benchmark yli 100 turvallisuuskontrollilla, pod-turvallisuusstandardeilla ja automaattisella korjauksella.

Learn More

Suojaus suorituksen aikan...

Suojaus suorituksen aikana

Kontin käyttäytymisen valvonta prosessiseurannalla, verkkoanalyysillä ja pakenemisen havaitsemisella.

Learn More

Toimitusketjun turvallisu...

Toimitusketjun turvallisuus

Rekisteri-integraatio Docker Hubiin, Harbouriin, AWS ECR:ään CI/CD-putkiston turvallisuusskannauksella.

Learn More

Suorituskyvyn vaikutusana...

Suorituskyvyn vaikutusanalyysi

Minimaalinen ylikuormitus, alle 1 % CPU-käyttö, 20 Mt muistia per solmu ja alle 50 ms verkkotunnistusviive.

Learn More

SBOM-generointi

SBOM-generointi

Ohjelmiston osaluettelo (SBOM) täydellisellä riippuvuuksien seurannalla, lisenssivaatimustenmukaisuudella ja toimitusketjun näkyvyydellä.

Learn More

Automaattinen korjausmoot...

Automaattinen korjausmoottori

Automaattiset turvallisuuskonfiguraatiokorjaukset Kubernetes-virhekonfiguraatioille ja käytäntörikkomuksille.

Learn More

Kontin pakenemisen havait...

Kontin pakenemisen havaitseminen

Edistynyt paon havaitseminen järjestelmäkutsujen ja asennusvalvonnan avulla sekä reaaliaikaisilla turvahälytyksillä.

Learn More

Rekisteri-integraatio

Rekisteri-integraatio

Tuki Docker Hubille, Harborille, AWS ECR:lle, Azure ACR:lle, GCR:lle webhook-konfiguraatiolla ja automaattisella skannauksella.

Learn More

Käytäntömoottori

Käytäntömoottori

CVE-kynnykset, lisenssitarkistukset, salaisten tietojen tunnistus, K8s-parhaat käytännöt ja verkkokäytäntöjen valvonta.

Learn More

API-integraatio

API-integraatio

REST-API haavoittuvuuslöydöksille, webhook-integraatio ja reaaliaikaiset turvallisuusilmoitukset.

Learn More

Rakennusvaihe

Hyökkäysvektori

Peruskuvan haavoittuvuudet
  • 367 CVE:tä EOL Ubuntu 18.04:ssä
  • Korjaamattomat järjestelmäkirjastot
  • Haittaohjelmat peruskerroksissa
Dockerfile-ongelmat
  • Kovakoodatut salaisuudet kuvassa
  • Suoritetaan root-käyttäjänä
  • Ei pakettien kiinnitystä

Plexicus-puolustus

Dockerfile-analyysi
  • Peruskuvan haavoittuvuusskannaus
  • Salaisten tietojen tunnistus ja poisto
  • Turvallisuuden parhaiden käytäntöjen valvonta
SBOM-generointi
  • Täydellinen riippuvuuskartoitus
  • Lisenssivaatimustenmukaisuuden tarkistus
  • Toimitusketjun validointi

Rekisterivaihe

Rekisterin haavoittuvuudet

Kuvan haavoittuvuudet
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • Paljastetut API-avaimet ja salaisuudet
Rekisterin paljastaminen
  • Julkiset rekisterin virhekonfiguraatiot
  • Allekirjoittamattomat kuvat
  • Haittaohjelmien injektio

Rekisterin turvallisuus

Haavoittuvuusskannaus
  • Reaaliaikainen CVE-tunnistus
  • Haittaohjelma-analyysi
  • Salaisten tietojen löytäminen ja poisto
Kuvan allekirjoitus
  • Cosign-integraatio
  • SBOM-validointi
  • Toimitusketjun vahvistaminen

Käyttöönotto

Käyttöönoton riskit

Kubernetes-virhekonfiguraatiot
  • Etuoikeutetut kontit
  • Pääsy isäntäverkkoon
  • Ei resurssirajoituksia
RBAC-ongelmat
  • Ylioikeutetut palvelutilit
  • Heikot verkkokäytännöt
  • Puuttuvat pääsykontrollit

Käytäntöjen valvonta

Pääsykontrolleri
  • Pod-turvallisuusstandardit
  • Resurssikiintiöiden valvonta
  • Kuvan vahvistus
Verkkokäytännöt
  • Nolla-luottamuksen verkko
  • Saapuvan/lähtevän liikenteen hallinta
  • DNS-turvallisuus

Suoritusvaihe

Suoritusaikaiset hyökkäykset

Oikeuksien laajentaminen
  • Kontin pakenemisyritykset
  • Kernel-hyökkäykset
  • SUID-binäärien väärinkäyttö
Haittaohjelmien toiminta
  • Kryptovaluutan louhinta
  • Tietojen ulosvienti
  • Sivuittaisliike

Suojaus suorituksen aikana

Käyttäytymisanalyysi
  • Prosessin valvonta
  • Verkkoliikenteen analyysi
  • Tiedostojen eheyden valvonta
Automaattinen vastaus
  • Prosessin lopetus
  • Kontin eristäminen
  • Hälytysten generointi

Kontin haavoittuvuuksien todellisuustarkistus

Katso, miten Plexicus havaitsee ja korjaa todellisia konttien haavoittuvuuksia.

Tyypillinen konttikuva-analyysi

Interaktiivinen terminaalivertailu
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# Turvallinen Dockerfile
2FROM ubuntu:22.04 # ✅ Tuettu peruskuva
3RUN apt-get update && apt-get install -y --no-install-recommends \\
4    package1=1.2.3 package2=4.5.6 && \\ # ✅ Pakettien kiinnitys
5    rm -rf /var/lib/apt/lists/* # ✅ Pienennä kuvan kokoa
6COPY --chown=app:app . /app/ # ✅ Oikeat käyttöoikeudet
7RUN useradd -r app
8USER app # ✅ Muu kuin root-käyttäjä
9EXPOSE 8080 # ✅ Etuoikeudeton portti
10# ✅ Salaisuudet hallitaan ympäristömuuttujien kautta
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# Haavoittuva Dockerfile
2FROM ubuntu:18.04 # ❌ EOL-peruskuva (367 CVE:tä)
3RUN apt-get update # ❌ Ei pakettien kiinnitystä
4COPY secrets.json /app/ # ❌ Salaisuuksia kuvassa
5RUN useradd app
6USER root # ❌ Suoritetaan root-käyttäjänä
7EXPOSE 22 # ❌ SSH paljastettu
8ENV API_KEY=sk-1234567890 # ❌ Salaisuus ympäristömuuttujassa
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Plexicus-tunnistustulokset:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - Ääretön silmukka DoS
• Kovakoodattu API-avain ympäristömuuttujassa
• Root-käyttäjän suoritus (UID 0)
• SSH-palvelu paljastettu portissa 22
Auto-Fix Available: 19/23 critical issues

Kubernetes-turvallisuusonnettomuudet

kubectl-konfiguraatiovertailu

Vulnerable

  • Etuoikeutettu kontti (täysi isäntäpääsy)
  • Root-käyttäjän suoritus
  • Isäntätiedostojärjestelmä asennettu
  • Pääsy isäntäverkkoon
  • Ei resurssirajoituksia

Plexicus-turvattu

  • Ei oikeuksien laajentamista
  • Muun kuin root-käyttäjän suoritus
  • Vain luku -tiedostojärjestelmä
  • Minimaaliset ominaisuudet
  • Resurssirajoitukset valvottu
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21 # ✅ Päivitetty turvallinen versio
9    securityContext:
10      allowPrivilegeEscalation: false # ✅ Ei oikeuksien laajentamista
11      runAsNonRoot: true # ✅ Muu kuin root-käyttäjä
12      runAsUser: 1000 # ✅ Tietty UID
13      readOnlyRootFilesystem: true # ✅ Vain luku -tiedostojärjestelmä
14      capabilities:
15        drop: [ALL] # ✅ Pudota kaikki ominaisuudet
16        add: [NET_BIND_SERVICE] # ✅ Vain vaaditut ominaisuudet
17    resources:
18      limits:
19        memory: 256Mi # ✅ Resurssirajoitukset
20        cpu: 200m
21        ephemeral-storage: 1Gi
22      requests:
23        memory: 128Mi
24        cpu: 100m
25    livenessProbe: # ✅ Terveystarkistukset
26      httpGet:
27        path: /health
28        port: 8080
29    readinessProbe:
30      httpGet:
31        path: /ready
32        port: 8080
33 
Lines: 33Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14 # ❌ Haavoittuva versio
9    securityContext:
10      privileged: true # ❌ Täysi isäntäpääsy
11      runAsUser: 0 # ❌ Root-käyttäjä
12    volumeMounts:
13    - name: host-root
14      mountPath: /host # ❌ Isäntätiedostojärjestelmäpääsy
15  volumes:
16  - name: host-root
17    hostPath:
18      path: / # ❌ Asenna isäntä-root
19  hostNetwork: true # ❌ Pääsy isäntäverkkoon
20  hostPID: true # ❌ Isäntä-PID-nimiavaruus
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Monivaiheinen turvallisuusarkkitehtuuri

Kattava suojaus koko kontin elinkaaren ajan interaktiivisella valvonnalla

Rakennusvaiheen turvallisuus
Dockerfile-analyysi, peruskuvan validointi ja SBOM-generointi
Rekisterin suojaus
Haavoittuvuusskannaus, haittaohjelmien tunnistus ja salaisten tietojen löytäminen
Käyttöönoton validointi
Käytäntöjen validointi, RBAC-tarkistukset ja pääsykontrolli
CPU
23%
MEM
67%
NET
12KB/s
Suoritusajan suojaus -hallintapaneeli
Reaaliaikainen valvonta prosessin, verkon ja tiedostojen eheyden valvonnalla
Uhkien tunnistus
Käyttäytymisanalyysi ja poikkeamien tunnistus ML-malleilla
Automaattinen vastaus
Automatisoitu korjaus ja tapausvaste
94% CIS
Vaatimustenmukaisuuden valvonta
CIS Kubernetes Benchmark ja jatkuva vaatimustenmukaisuuden validointi

Kubernetes-käytäntömoottori

Interaktiivinen käytäntöjen hallinta reaaliaikaisella validoinnilla ja automaattisella korjauksella

Pod-turvallisuusstandardit

no-privileged-containers

Estää etuoikeutettujen konttien suorituksen

non-root-user

Varmistaa, että kontit suoritetaan muuna kuin root-käyttäjänä

read-only-filesystem

Valvoo vain luku -root-tiedostojärjestelmää

Automaattinen korjaus saatavilla

3 käytäntörikkomusta voidaan korjata automaattisesti yhdellä napsautuksella.

Verkkokäytäntöjen validointi

Tunnistetut ongelmat

  • Ei verkkokäytäntöjä tuotannon nimiavaruudessa
  • Rajoittamaton pod-to-pod-viestintä
  • Ulkoinen liikenne sallittu kaikissa porteissa

Automaattisesti generoidut käytännöt

  • Oletus-deny-all-käytäntö luotu
  • Sovelluskohtaiset ingress-säännöt
  • Tietokannan egress-rajoitukset

RBAC-hallinta

Palvelutilianalyysi

23
Vähimmät oikeudet
7
Ylioikeutetut
2
Pääkäyttäjäpääsy

Roolisidontasuositukset

  • Poista cluster-admin oletuspalvelutililtä
  • Luo nimiavaruuskohtaisia rooleja sovelluksille
  • Ota käyttöön juuri-oikeaan-aikaan-pääsy virheenkorjaukseen

Pääsykontrolli

Webhook-tila

plexicus-container-policy
Aktiivinen

Viimeisimmät estot

Estetty etuoikeutettu kontti2 min sitten
Hylätty allekirjoittamaton kuva5 min sitten
Resurssirajoituksen rikkomus8 min sitten

Ohjelmiston toimitusketjun turvallisuus

Suojaa koko ohjelmistosi toimitusketju kattavalla SBOM-generoinnilla, riippuvuusanalyysillä ja konttien allekirjoitusominaisuuksilla.

Aktiivinen

SBOM-generointi

Automaattinen ohjelmiston osaluettelon generointi täydellistä riippuvuusnäkyvyyttä varten

CycloneDX-muoto
SPDX-yhteensopiva
Reaaliaikaiset päivitykset
Haavoittuvuuskartoitus
Skannaus

Riippuvuusanalyysi

Syvällinen analyysi kontin riippuvuuksista ja toimitusketjun riskeistä

CVE-seuranta
Lisenssivaatimustenmukaisuus
Vanhentuneet paketit
Turvallisuusilmoitukset
Turvattu

Konttien allekirjoitus

Konttikuvien digitaalinen allekirjoitus ja vahvistus aitoutta varten

Cosign-integraatio
Notary-tuki
Avainten hallinta
Allekirjoituksen vahvistus
Suojattu

Toimitusketjun hyökkäykset

Suojaus toimitusketjun kompromisseja ja haitallisia riippuvuuksia vastaan

Haittaohjelmien tunnistus
Kirjoitusvirheiden tarkistus
Takaovianalyysi
Uhkatietämys
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

CI/CD-integraatio

Integroi kontin turvallisuus saumattomasti olemassa oleviin CI/CD-putkistoihisi automaattisella skannauksella, käytäntöjen valvonnalla ja reaaliaikaisella palautteella.

GitLab CI

Skannauksia yhteensä:2,341
Viimeisin ajo2 min ago
Putkisto:container-security

GitHub Actions

Skannauksia yhteensä:1,892
Viimeisin ajo5 min ago
Putkisto:security-scan

Jenkins

Skannauksia yhteensä:3,156
Viimeisin ajo1 min ago
Putkisto:plexicus-scan

Azure DevOps

Skannauksia yhteensä:987
Viimeisin ajo3 min ago
Putkisto:container-check

Reaaliaikainen putkiston tila

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

Vaatimustenmukaisuuden automatisointi

Automaattinen vaatimustenmukaisuuden seuranta ja raportointi useilla kehikoilla reaaliaikaisella käytäntöjen valvonnalla ja korjausmahdollisuuksilla.

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Ohjaus94%4732 applied
Työntekijäsolmut89%2333 applied
Käytännöt91%3244 applied
158
Vaatimustenmukaisuustarkistukset
+12% this month
89%
Automaattisesti korjattu
+5% this month
23
Käytäntörikkomukset
-18% this month

Suorituskyvyn vaikutus

Minimaalinen suorituskyvyn ylikuormitus maksimaalisella turvallisuuskattavuudella. Kevyt agenttimme tarjoaa kattavan suojan tinkimättä suorituskyvystä.

23Mt
per solmu
Muistin käyttö15%
<1%
keskimäärin
CPU-käyttö%

Runtime Agent Performance

+0.3s
Container startup
+0.1ms
Application latency
-0.02%
Network throughput

Security Processing Statistics

2.3M
Security Events Processed
/day
12
Alerts Generated
/day
95%
Auto-Resolved
success rate
<2%
False Positives
accuracy
99.98% Uptime
Sub-second Response
Real-time Monitoring

Get Started Today

Choose your role and get started with Plexicus Container Security. Secure your containers from build to runtime in minutes.

DevSecOps Engineers

Setup container security scanning with automated policy enforcement

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

API integration for Kubernetes environments with real-time monitoring

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

Local container scanning and vulnerability detection during development

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

Compliance reporting and audit trail generation across frameworks

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
Get StartedView PoliciesContact Us

No credit card required • 14-day free trial • Full feature access