Plexicus Logo

Command Palette

Search for a command to run...

Container Segurança Kubernetes

Seus Contêineres Estão Cheios de Vulnerabilidades

  • 87% das imagens de contêiner contêm vulnerabilidades de alta gravidade
  • Padrões do Kubernetes permitem escalonamento de privilégios
  • Registros de contêineres expõem segredos

Plexicus Container Security encontra e corrige vulnerabilidades de contêiner desde a construção até a execução.

Container Security Lifecy...

Container Security Lifecycle

Proteção completa desde a construção até a execução com varredura de vulnerabilidades em cada estágio do ciclo de vida do contêiner.

Learn More

Image Vulnerability Scann...

Image Vulnerability Scanning

Análise de camadas profundas de imagens base, dependências, pacotes de SO e bibliotecas com geração de SBOM.

Learn More

Kubernetes Configuration ...

Kubernetes Configuration Security

CIS Kubernetes Benchmark com mais de 100 controles de segurança, padrões de segurança de pods e auto-remediação.

Learn More

Runtime Protection

Runtime Protection

Monitoramento de comportamento de contêiner com rastreamento de processos, análise de rede e detecção de fuga.

Learn More

Supply Chain Security

Supply Chain Security

Integração de registro para Docker Hub, Harbor, AWS ECR com varredura de segurança de pipeline CI/CD.

Learn More

Performance Impact Analys...

Performance Impact Analysis

Sobrecarga mínima com uso de CPU <1%, 20MB de memória por nó e latência de rede <50ms.

Learn More

SBOM Generation

SBOM Generation

Lista de Materiais de Software com rastreamento completo de dependências, conformidade de licenças e visibilidade da cadeia de suprimentos.

Learn More

Auto-Remediation Engine

Auto-Remediation Engine

Correções automáticas de configuração de segurança para configurações incorretas de Kubernetes e violações de políticas.

Learn More

Container Escape Detectio...

Container Escape Detection

Detecção avançada de fuga com monitoramento de syscall, monitoramento de montagem e alertas de segurança em tempo real.

Learn More

Registry Integration

Registry Integration

Suporte para Docker Hub, Harbor, AWS ECR, Azure ACR, GCR com configuração de webhook e varredura automática.

Learn More

Policy Engine

Policy Engine

Limites de CVE, verificação de licenças, detecção de segredos, melhores práticas de K8s e aplicação de políticas de rede.

Learn More

API Integration

API Integration

API REST para descobertas de vulnerabilidades, integração de webhook e notificações de segurança em tempo real.

Learn More

Fase de Construção

Vetor de Ataque

Vulnerabilidades de Imagem Base
  • 367 CVEs em EOL Ubuntu 18.04
  • Bibliotecas de sistema não corrigidas
  • Malware em camadas base
Problemas no Dockerfile
  • Segredos codificados na imagem
  • Executando como usuário root
  • Sem fixação de pacotes

Defesa Plexicus

Análise de Dockerfile
  • Varredura de vulnerabilidade de imagem base
  • Detecção e remoção de segredos
  • Aplicação de melhores práticas de segurança
Geração de SBOM
  • Mapeamento completo de dependências
  • Verificação de conformidade de licença
  • Validação da cadeia de suprimentos

Fase de Registro

Vulnerabilidades de Registro

Vulnerabilidades de Imagem
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • Chaves de API e segredos expostos
Exposição de Registro
  • Configurações incorretas de registro público
  • Imagens não assinadas
  • Injeção de malware

Segurança de Registro

Varredura de Vulnerabilidade
  • Detecção de CVE em tempo real
  • Análise de malware
  • Descoberta e remoção de segredos
Assinatura de Imagem
  • Integração com Cosign
  • Validação de SBOM
  • Verificação da cadeia de suprimentos

Fase de Implantação

Riscos de Implantação

Configurações Incorretas de Kubernetes
  • Contêineres privilegiados
  • Acesso à rede do host
  • Sem limites de recursos
Problemas de RBAC
  • Contas de serviço superprivilegiadas
  • Políticas de rede fracas
  • Controles de admissão ausentes

Aplicação de Políticas

Controlador de Admissão
  • Padrões de Segurança de Pod
  • Aplicação de cotas de recursos
  • Verificação de imagem
Políticas de Rede
  • Rede de confiança zero
  • Controles de entrada/saída
  • Segurança de DNS

Fase de Execução

Ataques em Tempo de Execução

Escalação de Privilégios
  • Tentativas de fuga de contêiner
  • Explorações de kernel
  • Abuso de binário SUID
Atividade Maliciosa
  • Mineração de criptomoeda
  • Exfiltração de dados
  • Movimento lateral

Proteção em Tempo de Execução

Análise de Comportamento
  • Monitoramento de processos
  • Análise de tráfego de rede
  • Monitoramento de integridade de arquivos
Resposta Automática
  • Terminação de processos
  • Isolamento de contêiner
  • Geração de alertas

Verificação de Realidade de Vulnerabilidade de Contêiner

Veja como o Plexicus detecta e remedia vulnerabilidades reais de contêiner

Análise Típica de Imagem de Contêiner

Comparação de Terminal Interativo
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# Dockerfile Seguro
2FROM ubuntu:22.04  # ✅ Imagem base suportada
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \\  # ✅ Fixação de pacote
5    rm -rf /var/lib/apt/lists/*  # ✅ Reduzir tamanho da imagem
6COPY --chown=app:app . /app/  # ✅ Permissões adequadas
7RUN useradd -r app
8USER app  # ✅ Usuário não-root
9EXPOSE 8080  # ✅ Porta não privilegiada
10# ✅ Segredos gerenciados via ambiente
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# Dockerfile Vulnerável
2FROM ubuntu:18.04  # ❌ Imagem base EOL (367 CVEs)
3RUN apt-get update  # ❌ Sem fixação de pacote
4COPY secrets.json /app/  # ❌ Segredos na imagem
5RUN useradd app
6USER root  # ❌ Executando como root
7EXPOSE 22  # ❌ SSH exposto
8ENV API_KEY=sk-1234567890  # ❌ Segredo em variável de ambiente
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Resultados de Detecção do Plexicus:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - Loop infinito DoS
• Chave de API codificada em variável de ambiente
• Execução de usuário root (UID 0)
• Serviço SSH exposto na porta 22
Auto-Fix Available: 19/23 critical issues

Desastres de Segurança do Kubernetes

comparação de configuração do kubectl

Vulnerable

  • Contêiner privilegiado (acesso completo ao host)
  • Execução de usuário root
  • Sistema de arquivos do host montado
  • Acesso à rede do host
  • Sem limites de recursos

Plexicus Protegido

  • Sem escalonamento de privilégios
  • Execução de usuário não-root
  • Sistema de arquivos somente leitura
  • Capacidades mínimas
  • Limites de recursos aplicados
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ Updated secure version
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ No privilege escalation
11      runAsNonRoot: true              # ✅ Non-root user
12      runAsUser: 1000                 # ✅ Specific UID
13      readOnlyRootFilesystem: true    # ✅ Read-only filesystem
14      capabilities:
15        drop: [ALL]                 # ✅ Drop all capabilities
16        add: [NET_BIND_SERVICE]     # ✅ Only required caps
17    resources:
18      limits:
19        memory: 256Mi               # ✅ Resource limits
20        cpu: 200m
21        ephemeral-storage: 1Gi
22      requests:
23        memory: 128Mi
24        cpu: 100m
25    livenessProbe:                    # ✅ Health checks
26      httpGet:
27        path: /health
28        port: 8080
29    readinessProbe:
30      httpGet:
31        path: /ready
32        port: 8080
33 
Lines: 33Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ Versão vulnerável
9    securityContext:
10      privileged: true  # ❌ Acesso completo ao host
11      runAsUser: 0     # ❌ Usuário root
12    volumeMounts:
13    - name: host-root
14      mountPath: /host  # ❌ Acesso ao sistema de arquivos do host
15  volumes:
16  - name: host-root
17    hostPath:
18      path: /          # ❌ Montar root do host
19  hostNetwork: true    # ❌ Acesso à rede do host
20  hostPID: true        # ❌ Namespace PID do host
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Arquitetura de Segurança Multi-Estágio

Proteção abrangente em todo o ciclo de vida do contêiner com monitoramento interativo

Build Stage Security
Análise de Dockerfile, validação de imagem base e geração de SBOM
Registry Protection
Varredura de vulnerabilidades, detecção de malware e descoberta de segredos
Deploy Validation
Validação de políticas, verificações de RBAC e controle de admissão
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
Monitoramento em tempo real com integridade de processos, rede e arquivos
Threat Detection
Análise de comportamento e detecção de anomalias com modelos de ML
Auto Response
Remediação automatizada e resposta a incidentes
94% CIS
Compliance Monitoring
CIS Kubernetes Benchmark e validação contínua de conformidade

Kubernetes Policy Engine

Gestão interativa de políticas com validação em tempo real e remediação automatizada

Padrões de Segurança de Pod

no-privileged-containers

Impede a execução de contêineres privilegiados

non-root-user

Garante que os contêineres sejam executados como usuário não-root

read-only-filesystem

Impõe sistema de arquivos raiz somente leitura

Auto-Remediação Disponível

3 violações de política podem ser corrigidas automaticamente com remediação de um clique.

Validação de Política de Rede

Problemas Detectados

  • Nenhuma política de rede no namespace de produção
  • Comunicação irrestrita entre pods
  • Tráfego externo permitido em todas as portas

Políticas Geradas Automaticamente

  • Política padrão de negação total criada
  • Regras de entrada específicas de aplicativo
  • Restrições de saída de banco de dados

Controle RBAC

Análise de Conta de Serviço

23
Menor Privilégio
7
Superprivilegiado
2
Acesso de Administrador

Recomendações de Vinculação de Função

  • Remover cluster-admin da conta de serviço padrão
  • Criar funções específicas de namespace para aplicativos
  • Implementar acesso just-in-time para depuração

Controle de Admissão

Status do Webhook

plexicus-container-policy
Ativo

Bloqueios Recentes

Contêiner privilegiado bloqueado2 min atrás
Imagem não assinada rejeitada5 min atrás
Violação de limite de recursos8 min atrás

Segurança da Cadeia de Suprimentos de Software

Proteja toda a sua cadeia de suprimentos de software com geração abrangente de SBOM, análise de dependência e capacidades de assinatura de contêiner.

Active

SBOM Generation

Geração automatizada de Software Bill of Materials para visibilidade completa de dependências

CycloneDX Format
SPDX Compatible
Real-time Updates
Vulnerability Mapping
Scanning

Dependency Analysis

Análise profunda de dependências de contêiner e riscos da cadeia de suprimentos

CVE Tracking
License Compliance
Outdated Packages
Security Advisories
Secured

Container Signing

Assinatura digital e verificação de imagens de contêiner para autenticidade

Cosign Integration
Notary Support
Key Management
Signature Verification
Protected

Supply Chain Attacks

Proteção contra compromissos da cadeia de suprimentos e dependências maliciosas

Malware Detection
Typosquatting
Backdoor Analysis
Threat Intelligence
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

CI/CD Integration

Integre perfeitamente a segurança de contêineres em seus pipelines CI/CD existentes com varredura automatizada, aplicação de políticas e feedback em tempo real.

GitLab CI

Total de Varreduras:2,341
Última Execução2 min ago
Pipeline:container-security

GitHub Actions

Total de Varreduras:1,892
Última Execução5 min ago
Pipeline:security-scan

Jenkins

Total de Varreduras:3,156
Última Execução1 min ago
Pipeline:plexicus-scan

Azure DevOps

Total de Varreduras:987
Última Execução3 min ago
Pipeline:container-check

Status do Pipeline ao Vivo

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

Automação de Conformidade

Monitoramento e relatório de conformidade automatizados em vários frameworks com aplicação de políticas em tempo real e capacidades de remediação.

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Compliance Checks
+12% this month
89%
Auto-Remediated
+5% this month
23
Policy Violations
-18% this month

Impacto de Desempenho

Sobrecarga de desempenho mínima com cobertura máxima de segurança. Nosso agente leve oferece proteção abrangente sem comprometer o desempenho.

23MB
por nó
Uso de Memória15%
<1%
média
Uso de CPU8%
12KB/s
telemetria
Rede25%
45MB
retenção de 7 dias
Armazenamento35%

Runtime Agent Performance

+0.3s
Inicialização do contêiner
+0.1ms
Latência da aplicação
-0.02%
Vazão de rede

Security Processing Statistics

2.3M
Eventos de Segurança Processados
/dia
12
Alertas Gerados
/dia
95%
Auto-Resolvido
taxa de sucesso
<2%
Falsos Positivos
precisão
99.98% Uptime
Resposta em Sub-segundo
Monitoramento em Tempo Real

Comece Hoje

Escolha seu papel e comece com a Segurança de Contêineres Plexicus. Proteja seus contêineres desde a construção até a execução em minutos.

DevSecOps Engineers

Configuração de varredura de segurança de contêineres com aplicação automática de políticas

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

Integração de API para ambientes Kubernetes com monitoramento em tempo real

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

Varredura local de contêineres e detecção de vulnerabilidades durante o desenvolvimento

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

Relatórios de conformidade e geração de trilha de auditoria em todos os frameworks

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
ComeçarVer PolíticasContate-Nos

Nenhum cartão de crédito necessário • Teste gratuito de 14 dias • Acesso completo a recursos