Plexicus Logo

Command Palette

Search for a command to run...

קונטיינר אבטחת Kubernetes

הקונטיינרים שלך מלאים בפגיעויות

  • 87% מתמונות הקונטיינר מכילות פגיעויות חמורות
  • ברירות המחדל של Kubernetes מאפשרות הסלמת הרשאות
  • רשימות הקונטיינרים חושפות סודות

Plexicus Container Security מוצא ומתקן פגיעויות קונטיינר מהבנייה ועד זמן הריצה.

Container Security Lifecy...

Container Security Lifecycle

הגנה מלאה מבנייה להרצה עם סריקת פגיעות בכל שלב במחזור החיים של הקונטיינר.

Learn More

Image Vulnerability Scann...

Image Vulnerability Scanning

ניתוח שכבות עמוק של תמונות בסיס, תלות, חבילות מערכת הפעלה וספריות עם יצירת SBOM.

Learn More

Kubernetes Configuration ...

Kubernetes Configuration Security

מדד CIS Kubernetes עם יותר מ-100 בקרות אבטחה, סטנדרטים לאבטחת פודים ותיקון אוטומטי.

Learn More

Runtime Protection

Runtime Protection

מעקב אחר התנהגות קונטיינר עם מעקב תהליכים, ניתוח רשת וזיהוי בריחה.

Learn More

Supply Chain Security

Supply Chain Security

אינטגרציה עם רישום ל-Docker Hub, Harbor, AWS ECR עם סריקת אבטחה בצינור CI/CD.

Learn More

Performance Impact Analys...

Performance Impact Analysis

השפעה מינימלית עם שימוש CPU של פחות מ-1%, זיכרון של 20MB לכל צומת ועיכוב רשת של פחות מ-50ms.

Learn More

SBOM Generation

SBOM Generation

רשימת חומרים תוכנה עם מעקב תלות מלא, תאימות רישוי וראות שרשרת אספקה.

Learn More

Auto-Remediation Engine

Auto-Remediation Engine

תיקונים אוטומטיים של הגדרות אבטחה עבור שגיאות קונפיגורציה ב-Kubernetes והפרות מדיניות.

Learn More

Container Escape Detectio...

Container Escape Detection

זיהוי בריחה מתקדם עם מעקב syscall, מעקב mount והתראות אבטחה בזמן אמת.

Learn More

Registry Integration

Registry Integration

תמיכה ב-Docker Hub, Harbor, AWS ECR, Azure ACR, GCR עם קונפיגורציית webhook וסריקה אוטומטית.

Learn More

Policy Engine

Policy Engine

ספי CVE, בדיקות רישוי, זיהוי סודות, שיטות עבודה מומלצות ל-K8s ואכיפת מדיניות רשת.

Learn More

API Integration

API Integration

API REST לממצאי פגיעות, אינטגרציית webhook והתראות אבטחה בזמן אמת.

Learn More

שלב הבנייה

וקטור התקפה

פגיעויות תמונת בסיס
  • 367 CVEs ב-Ubuntu 18.04 EOL
  • ספריות מערכת לא מתוקנות
  • תוכנה זדונית בשכבות בסיס
בעיות Dockerfile
  • סודות מקודדים בתמונה
  • הרצה כמשתמש root
  • אין הצמדת חבילות

הגנת Plexicus

ניתוח Dockerfile
  • סריקת פגיעויות תמונת בסיס
  • זיהוי והסרת סודות
  • אכיפת שיטות אבטחה מיטביות
יצירת SBOM
  • מיפוי תלות מלא
  • בדיקת תאימות רישוי
  • אימות שרשרת אספקה

שלב הרישום

פגיעויות רישום

פגיעויות תמונה
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • מפתחות API וסודות חשופים
חשיפת רישום
  • תצורות שגויות ברישום ציבורי
  • תמונות לא חתומות
  • הזרקת תוכנה זדונית

אבטחת רישום

סריקת פגיעויות
  • זיהוי CVE בזמן אמת
  • ניתוח תוכנה זדונית
  • גילוי והסרת סודות
חתימת תמונה
  • אינטגרציית Cosign
  • אימות SBOM
  • אימות שרשרת אספקה

שלב הפריסה

סיכוני פריסה

תצורות שגויות ב-Kubernetes
  • מכולות עם הרשאות יתר
  • גישה לרשת מארח
  • אין הגבלות משאבים
בעיות RBAC
  • חשבונות שירות עם הרשאות יתר
  • מדיניות רשת חלשה
  • חוסר בבקרות קבלה

אכיפת מדיניות

בקר קבלה
  • תקני אבטחת פוד
  • אכיפת מכסת משאבים
  • אימות תמונה
מדיניות רשת
  • רשת אפס אמון
  • בקרות כניסה/יציאה
  • אבטחת DNS

שלב זמן ריצה

התקפות זמן ריצה

הסלמת הרשאות
  • ניסיונות פריצה ממכולה
  • ניצול חולשות ליבה
  • שימוש לרעה בקובץ בינארי SUID
פעילות זדונית
  • כריית מטבעות קריפטוגרפיים
  • הוצאת נתונים
  • תנועה לרוחב

הגנת זמן ריצה

ניתוח התנהגות
  • ניטור תהליכים
  • ניתוח תעבורת רשת
  • ניטור שלמות קבצים
תגובה אוטומטית
  • הפסקת תהליך
  • בידוד מכולה
  • יצירת התראה

בדיקת מציאות פגיעות מיכל

ראה כיצד Plexicus מזהה ומתקן פגיעויות מיכל בעולם האמיתי

ניתוח תמונת מיכל טיפוסי

השוואת מסוף אינטראקטיבית
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# Dockerfile מאובטח
2FROM ubuntu:22.04  # ✅ תמונת בסיס נתמכת
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \\  # ✅ הצמדת חבילות
5    rm -rf /var/lib/apt/lists/*  # ✅ צמצום גודל תמונה
6COPY --chown=app:app . /app/  # ✅ הרשאות נכונות
7RUN useradd -r app
8USER app  # ✅ משתמש שאינו root
9EXPOSE 8080  # ✅ פורט לא-מוגן
10# ✅ סודות מנוהלים דרך סביבה
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# Dockerfile פגיע
2FROM ubuntu:18.04  # ❌ תמונת בסיס EOL (367 CVEs)
3RUN apt-get update  # ❌ אין הצמדת חבילות
4COPY secrets.json /app/  # ❌ סודות בתמונה
5RUN useradd app
6USER root  # ❌ רץ כ-root
7EXPOSE 22  # ❌ SSH חשוף
8ENV API_KEY=sk-1234567890  # ❌ סוד במשתנה סביבה
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

תוצאות זיהוי Plexicus:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - Infinite loop DoS
• מפתח API קשיח במשתנה סביבה
• ביצוע משתמש root (UID 0)
• שירות SSH חשוף על פורט 22
Auto-Fix Available: 19/23 critical issues

אסונות אבטחת Kubernetes

השוואת תצורת kubectl

Vulnerable

  • מיכל עם הרשאות מלאות (גישה מלאה למארח)
  • ביצוע משתמש root
  • מערכת קבצים של המארח מותקנת
  • גישה לרשת המארח
  • אין מגבלות משאבים

מאובטח על ידי Plexicus

  • אין הסלמת הרשאות
  • ביצוע משתמש שאינו root
  • מערכת קבצים לקריאה בלבד
  • יכולות מינימליות
  • אכיפת מגבלות משאבים
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ גרסה מעודכנת ובטוחה
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ ללא הסלמת הרשאות
11      runAsNonRoot: true              # ✅ משתמש שאינו root
12    
13        runAsUser: 1000                 # ✅ UID ספציפי
14      readOnlyRootFilesystem: true    # ✅ מערכת קבצים לקריאה בלבד
15      capabilities:
16        drop: [ALL]                 # ✅ הסרת כל היכולות
17        add: [NET_BIND_SERVICE]     # ✅ רק יכולות נדרשות
18    resources:
19      limits:
20        memory: 256Mi               # ✅ מגבלות משאבים
21        cpu: 200m
22        ephemeral-storage: 1Gi
23      requests:
24        memory: 128Mi
25        cpu: 100m
26    livenessProbe:                    # ✅ בדיקות בריאות
27      httpGet:
28        path: /health
29        port: 8080
30    readinessProbe:
31      httpGet:
32        path: /ready
33        port: 8080
34 
Lines: 34Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ גרסה פגיעה
9    securityContext:
10      privileged: true  # ❌ גישה מלאה למארח
11      runAsUser: 0     # ❌ משתמש root
12    volumeMounts:
13    - name: host-root
14      mountPath: /host  # ❌ גישה למערכת הקבצים של המארח
15  volumes:
16  - name: host-root
17    hostPath:
18      path: /          # ❌ הרכבת שורש המארח
19  hostNetwork: true    # ❌ גישה לרשת המארח
20  hostPID: true        # ❌ מרחב שמות PID של המארח
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

ארכיטקטורת אבטחה רב-שלבית

הגנה מקיפה לאורך כל מחזור החיים של הקונטיינר עם ניטור אינטראקטיבי

Build Stage Security
ניתוח Dockerfile, אימות תמונת בסיס, ויצירת SBOM
Registry Protection
סריקת פגיעות, זיהוי תוכנות זדוניות, וגילוי סודות
Deploy Validation
אימות מדיניות, בדיקות RBAC, ובקרת קבלה
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
ניטור בזמן אמת עם תהליך, רשת, ושלמות קבצים
Threat Detection
ניתוח התנהגות וזיהוי חריגות עם מודלים של ML
Auto Response
תיקון אוטומטי ותגובה לאירועים
94% CIS
Compliance Monitoring
CIS Kubernetes Benchmark ואימות תאימות מתמשכת

Kubernetes Policy Engine

ניהול מדיניות אינטראקטיבי עם אימות בזמן אמת ותיקון אוטומטי

Pod Security Standards

no-privileged-containers

מונע ביצוע קונטיינרים עם הרשאות מיוחדות

non-root-user

מבטיח שקונטיינרים יפעלו כמשתמש שאינו root

read-only-filesystem

אוכף מערכת קבצים root לקריאה בלבד

Auto-Remediation Available

3 הפרות מדיניות יכולות להיות מתוקנות אוטומטית בלחיצה אחת.

Network Policy Validation

Detected Issues

  • אין מדיניות רשת במרחב הייצור
  • תקשורת קונטיינר-לקונטיינר ללא הגבלה
  • תנועה חיצונית מותרת בכל הפורטים

Auto-Generated Policies

  • מדיניות ברירת מחדל של חסימה נוצרה
  • חוקי כניסה ספציפיים לאפליקציה
  • הגבלות יציאה למסד נתונים

בקרת RBAC

ניתוח חשבון שירות

23
הפריבילגיה המינימלית
7
מעל הפריבילגיה
2
גישה מנהלית

המלצות על קישור תפקיד

  • הסר cluster-admin מחשבון השירות ברירת מחדל
  • צור תפקידים ספציפיים למרחב שמות עבור אפליקציות
  • יישם גישה בזמן אמת לצורך ניפוי שגיאות

בקרת קבלה

סטטוס Webhook

plexicus-container-policy
פעיל

חסימות אחרונות

מיכל פריבילגי נחסםלפני 2 דקות
תמונה לא חתומה נדחתהלפני 5 דקות
הפרת מגבלת משאביםלפני 8 דקות

אבטחת שרשרת אספקת תוכנה

אבטח את כל שרשרת אספקת התוכנה שלך עם יצירת SBOM מקיפה, ניתוח תלות ויכולות חתימת מיכלים.

Active

SBOM Generation

יצירת חשבון חומרים אוטומטית לתוכנה לצורך נראות מלאה של תלות

פורמט CycloneDX
תואם SPDX
עדכונים בזמן אמת
מיפוי פגיעויות
Scanning

Dependency Analysis

ניתוח מעמיק של תלות מיכלים וסיכוני שרשרת אספקה

מעקב CVE
ציות לרישיונות
חבילות מיושנות
המלצות אבטחה
Secured

Container Signing

חתימה דיגיטלית ואימות תמונות מיכלים לאותנטיות

אינטגרציית Cosign
תמיכה ב-Notary
ניהול מפתחות
אימות חתימה
Protected

Supply Chain Attacks

הגנה מפני פגיעות שרשרת אספקה ותלות זדוניות

זיהוי תוכנות זדוניות
טיפוסקווטינג
ניתוח דלת אחורית
מודיעין איומים
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

CI/CD Integration

אינטגרציה חלקה של אבטחת מיכלים לתוך צינורות CI/CD קיימים עם סריקה אוטומטית, אכיפת מדיניות ומשוב בזמן אמת.

GitLab CI

Total Scans:2,341
Last Run2 min ago
Pipeline:container-security

GitHub Actions

Total Scans:1,892
Last Run5 min ago
Pipeline:security-scan

Jenkins

Total Scans:3,156
Last Run1 min ago
Pipeline:plexicus-scan

Azure DevOps

Total Scans:987
Last Run3 min ago
Pipeline:container-check

Live Pipeline Status

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

Compliance Automation

ניטור ציות אוטומטי ודיווח על פני מספר מסגרות עם אכיפת מדיניות בזמן אמת ויכולות תיקון.

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Compliance Checks
+12% this month
89%
Auto-Remediated
+5% this month
23
Policy Violations
-18% this month

השפעת ביצועים

השפעה מינימלית על ביצועים עם כיסוי אבטחה מקסימלי. הסוכן הקל שלנו מספק הגנה מקיפה ללא פגיעה בביצועים.

23MB
per node
Memory Usage15%
<1%
average
CPU Usage8%
12KB/s
telemetry
Network25%
45MB
7-day retention
Storage35%

Runtime Agent Performance

+0.3s
Container startup
+0.1ms
Application latency
-0.02%
Network throughput

Security Processing Statistics

2.3M
Security Events Processed
/day
12
Alerts Generated
/day
95%
Auto-Resolved
success rate
<2%
False Positives
accuracy
99.98% Uptime
Sub-second Response
Real-time Monitoring

Get Started Today

בחר את התפקיד שלך והתחל עם אבטחת מיכלים של Plexicus. אבטח את המיכלים שלך מהבנייה ועד זמן הריצה תוך דקות.

DevSecOps Engineers

הגדרת סריקת אבטחת מכולות עם אכיפת מדיניות אוטומטית

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

אינטגרציית API לסביבות Kubernetes עם ניטור בזמן אמת

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

סריקת מכולות מקומית וזיהוי פגיעויות במהלך הפיתוח

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

דיווח תאימות ויצירת מסלול ביקורת על פני מסגרות

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
Get StartedView PoliciesContact Us

אין צורך בכרטיס אשראי • ניסיון חינם ל-14 יום • גישה מלאה לתכונות