Plexicus Logo

Command Palette

Search for a command to run...

Container Bảo mật Kubernetes

Các container của bạn đầy lỗ hổng bảo mật

  • 87% hình ảnh container chứa lỗ hổng bảo mật nghiêm trọng
  • Mặc định Kubernetes cho phép leo thang đặc quyền
  • Kho lưu trữ container tiết lộ bí mật

Plexicus Container Security tìm và sửa các lỗ hổng bảo mật container từ xây dựng đến thời gian chạy.

Container Security Lifecy...

Container Security Lifecycle

Bảo vệ toàn diện từ xây dựng đến thời gian chạy với quét lỗ hổng tại mỗi giai đoạn của vòng đời container.

Learn More

Image Vulnerability Scann...

Image Vulnerability Scanning

Phân tích lớp sâu của hình ảnh cơ sở, phụ thuộc, gói hệ điều hành và thư viện với việc tạo SBOM.

Learn More

Kubernetes Configuration ...

Kubernetes Configuration Security

CIS Kubernetes Benchmark với hơn 100 kiểm soát an ninh, tiêu chuẩn an ninh pod và tự động khắc phục.

Learn More

Runtime Protection

Runtime Protection

Giám sát hành vi container với theo dõi quy trình, phân tích mạng và phát hiện thoát.

Learn More

Supply Chain Security

Supply Chain Security

Tích hợp registry cho Docker Hub, Harbor, AWS ECR với quét an ninh đường dẫn CI/CD.

Learn More

Performance Impact Analys...

Performance Impact Analysis

Tác động tối thiểu với <1% sử dụng CPU, 20MB bộ nhớ mỗi nút, và <50ms độ trễ mạng.

Learn More

SBOM Generation

SBOM Generation

Hóa đơn phần mềm với theo dõi phụ thuộc hoàn chỉnh, tuân thủ giấy phép và khả năng hiển thị chuỗi cung ứng.

Learn More

Auto-Remediation Engine

Auto-Remediation Engine

Sửa chữa cấu hình an ninh tự động cho các cấu hình sai Kubernetes và vi phạm chính sách.

Learn More

Container Escape Detectio...

Container Escape Detection

Phát hiện thoát tiên tiến với giám sát syscall, giám sát mount và cảnh báo an ninh thời gian thực.

Learn More

Registry Integration

Registry Integration

Hỗ trợ Docker Hub, Harbor, AWS ECR, Azure ACR, GCR với cấu hình webhook và tự động quét.

Learn More

Policy Engine

Policy Engine

Ngưỡng CVE, kiểm tra giấy phép, phát hiện bí mật, thực hành tốt nhất K8s và thực thi chính sách mạng.

Learn More

API Integration

API Integration

REST API cho các phát hiện lỗ hổng, tích hợp webhook và thông báo an ninh thời gian thực.

Learn More

Giai đoạn Xây dựng

Vector Tấn công

Lỗ hổng hình ảnh cơ bản
  • 367 CVEs trong EOL Ubuntu 18.04
  • Thư viện hệ thống chưa được vá
  • Phần mềm độc hại trong các lớp cơ bản
Vấn đề Dockerfile
  • Bí mật được mã hóa cứng trong hình ảnh
  • Chạy dưới quyền người dùng root
  • Không có ghim gói

Phòng thủ Plexicus

Phân tích Dockerfile
  • Quét lỗ hổng hình ảnh cơ bản
  • Phát hiện và loại bỏ bí mật
  • Thực thi các thực tiễn bảo mật tốt nhất
Tạo SBOM
  • Lập bản đồ phụ thuộc hoàn chỉnh
  • Kiểm tra tuân thủ giấy phép
  • Xác thực chuỗi cung ứng

Giai đoạn Đăng ký

Lỗ hổng Đăng ký

Lỗ hổng hình ảnh
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • Khóa API và bí mật bị lộ
Phơi bày Đăng ký
  • Cấu hình sai đăng ký công khai
  • Hình ảnh chưa ký
  • Tiêm phần mềm độc hại

Bảo mật Đăng ký

Quét lỗ hổng
  • Phát hiện CVE thời gian thực
  • Phân tích phần mềm độc hại
  • Phát hiện và loại bỏ bí mật
Ký hình ảnh
  • Tích hợp Cosign
  • Xác thực SBOM
  • Xác minh chuỗi cung ứng

Giai đoạn Triển khai

Rủi ro Triển khai

Cấu hình sai Kubernetes
  • Container có quyền cao
  • Truy cập mạng máy chủ
  • Không có giới hạn tài nguyên
Vấn đề RBAC
  • Tài khoản dịch vụ có quyền cao
  • Chính sách mạng yếu
  • Thiếu kiểm soát nhập học

Thực thi Chính sách

Bộ điều khiển nhập học
  • Tiêu chuẩn bảo mật Pod
  • Thực thi hạn ngạch tài nguyên
  • Xác minh hình ảnh
Chính sách Mạng
  • Mạng không tin tưởng
  • Kiểm soát vào/ra
  • Bảo mật DNS

Giai đoạn Thời gian chạy

Tấn công Thời gian chạy

Leo thang quyền
  • Nỗ lực phá vỡ container
  • Khai thác kernel
  • Lạm dụng nhị phân SUID
Hoạt động độc hại
  • Khai thác tiền điện tử
  • Rò rỉ dữ liệu
  • Di chuyển ngang

Bảo vệ Thời gian chạy

Phân tích Hành vi
  • Giám sát quy trình
  • Phân tích lưu lượng mạng
  • Giám sát tính toàn vẹn tệp
Phản hồi Tự động
  • Kết thúc quy trình
  • Cô lập container
  • Tạo cảnh báo

Kiểm tra thực tế lỗ hổng Container

Xem cách Plexicus phát hiện và khắc phục lỗ hổng container thực tế

Phân tích hình ảnh Container điển hình

So sánh Terminal tương tác
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# Dockerfile an toàn
2FROM ubuntu:22.04  # ✅ Hình ảnh cơ sở được hỗ trợ
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \\  # ✅ Ghim gói
5    rm -rf /var/lib/apt/lists/*  # ✅ Giảm kích thước hình ảnh
6COPY --chown=app:app . /app/  # ✅ Quyền đúng
7RUN useradd -r app
8USER app  # ✅ Người dùng không phải root
9EXPOSE 8080  # ✅ Cổng không đặc quyền
10# ✅ Bí mật được quản lý qua môi trường
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# Dockerfile dễ bị tổn thương
2FROM ubuntu:18.04  # ❌ Hình ảnh cơ sở EOL (367 CVEs)
3RUN apt-get update  # ❌ Không ghim gói
4COPY secrets.json /app/  # ❌ Bí mật trong hình ảnh
5RUN useradd app
6USER root  # ❌ Chạy với quyền root
7EXPOSE 22  # ❌ SSH bị lộ
8ENV API_KEY=sk-1234567890  # ❌ Bí mật trong biến môi trường
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Kết quả phát hiện của Plexicus:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - Vòng lặp vô hạn DoS
• Khóa API được mã hóa cứng trong biến môi trường
• Thực thi người dùng root (UID 0)
• Dịch vụ SSH được mở trên cổng 22
Auto-Fix Available: 19/23 critical issues

Thảm họa bảo mật Kubernetes

so sánh cấu hình kubectl

Vulnerable

  • Container có đặc quyền (truy cập đầy đủ vào máy chủ)
  • Thực thi người dùng root
  • Hệ thống tệp máy chủ được gắn kết
  • Truy cập mạng máy chủ
  • Không có giới hạn tài nguyên

Plexicus Đã bảo mật

  • Không leo thang đặc quyền
  • Thực thi người dùng không phải root
  • Hệ thống tệp chỉ đọc
  • Khả năng tối thiểu
  • Giới hạn tài nguyên được thực thi
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ Phiên bản bảo mật đã cập nhật
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ Không leo thang đặc quyền
11      runAsNonRoot: true              # ✅ Người dùng không phải root
12    
13      runAsUser: 1000                 # ✅ UID cụ thể
14      readOnlyRootFilesystem:
15 true    # ✅ Hệ thống tệp chỉ đọc
16      capabilities:
17        drop: [ALL]
18                 # ✅ Loại bỏ tất cả khả năng
19        add: [NET_BIND_SERVICE]
20     # ✅ Chỉ các khả năng cần thiết
21    resources:
22      limits:
23        memory:
24 256Mi               # ✅ Giới hạn tài nguyên
25        cpu: 200m
26        ephemeral-storage:
27 1Gi
28      requests:
29        memory: 128Mi
30        cpu: 100m
31    livenessProbe:
32                    # ✅ Kiểm tra sức khỏe
33      httpGet:
34        path: /health
35 
36        port: 8080
37    readinessProbe:
38      httpGet:
39        path: /ready
40 
41        port: 8080
42 
Lines: 42Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ Phiên bản dễ bị tổn thương
9    securityContext:
10      privileged: true  # ❌ Truy cập đầy đủ vào máy chủ
11      runAsUser: 0     # ❌ Người dùng root
12    volumeMounts:
13    - name: host-root
14      mountPath: /host  # ❌ Truy cập hệ thống tệp máy chủ
15  volumes:
16  - name: host-root
17    hostPath:
18      path: /          # ❌ Gắn kết root máy chủ
19  hostNetwork: true    # ❌ Truy cập mạng máy chủ
20  hostPID: true        # ❌ Không gian tên PID máy chủ
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Kiến trúc bảo mật đa giai đoạn

Bảo vệ toàn diện trong suốt vòng đời container với giám sát tương tác

Build Stage Security
Phân tích Dockerfile, xác thực hình ảnh cơ sở, và tạo SBOM
Registry Protection
Quét lỗ hổng, phát hiện phần mềm độc hại, và khám phá bí mật
Deploy Validation
Xác thực chính sách, kiểm tra RBAC, và kiểm soát nhập
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
Giám sát thời gian thực với quy trình, mạng, và giám sát tính toàn vẹn của tệp
Threat Detection
Phân tích hành vi và phát hiện bất thường với các mô hình ML
Auto Response
Khắc phục tự động và phản ứng sự cố
94% CIS
Compliance Monitoring
CIS Kubernetes Benchmark và xác thực tuân thủ liên tục

Kubernetes Policy Engine

Quản lý chính sách tương tác với xác thực thời gian thực và khắc phục tự động

Pod Security Standards

no-privileged-containers

Ngăn chặn thực thi container có quyền cao

non-root-user

Đảm bảo container chạy dưới quyền người dùng không phải root

read-only-filesystem

Thực thi hệ thống tệp gốc chỉ đọc

Tự động khắc phục có sẵn

3 vi phạm chính sách có thể được sửa chữa tự động với khắc phục một lần nhấp.

Xác thực Chính sách Mạng

Vấn đề đã phát hiện

  • Không có chính sách mạng trong không gian tên sản xuất
  • Giao tiếp pod-to-pod không bị hạn chế
  • Lưu lượng truy cập bên ngoài được phép trên tất cả các cổng

Chính sách tự động tạo

  • Chính sách mặc định từ chối tất cả được tạo
  • Quy tắc ingress cụ thể cho ứng dụng
  • Hạn chế egress cơ sở dữ liệu

Kiểm soát RBAC

Phân tích Tài khoản Dịch vụ

23
Quyền tối thiểu
7
Quyền quá mức
2
Quyền truy cập quản trị viên

Khuyến nghị Ràng buộc Vai trò

  • Loại bỏ cluster-admin khỏi tài khoản dịch vụ mặc định
  • Tạo vai trò cụ thể cho từng namespace cho ứng dụng
  • Thực hiện truy cập đúng lúc cho gỡ lỗi

Kiểm soát nhập

Trạng thái Webhook

plexicus-container-policy
Hoạt động

Các khối gần đây

Container có quyền đặc biệt bị chặn2 phút trước
Hình ảnh chưa ký bị từ chối5 phút trước
Vi phạm giới hạn tài nguyên8 phút trước

Bảo mật chuỗi cung ứng phần mềm

Bảo vệ toàn bộ chuỗi cung ứng phần mềm của bạn với khả năng tạo SBOM toàn diện, phân tích phụ thuộc và ký container.

Active

SBOM Generation

Tạo hóa đơn vật liệu phần mềm tự động để hiển thị đầy đủ phụ thuộc

CycloneDX Format
SPDX Compatible
Cập nhật theo thời gian thực
Ánh xạ lỗ hổng
Scanning

Phân tích phụ thuộc

Phân tích sâu về các phụ thuộc của container và rủi ro chuỗi cung ứng

Theo dõi CVE
Tuân thủ giấy phép
Gói lỗi thời
Tư vấn bảo mật
Secured

Ký container

Ký số và xác minh hình ảnh container để xác thực

Tích hợp Cosign
Hỗ trợ Notary
Quản lý khóa
Xác minh chữ ký
Protected

Tấn công chuỗi cung ứng

Bảo vệ chống lại các thỏa hiệp chuỗi cung ứng và phụ thuộc độc hại

Phát hiện phần mềm độc hại
Typosquatting
Phân tích cửa hậu
Tình báo mối đe dọa
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

Tích hợp CI/CD

Tích hợp bảo mật container một cách liền mạch vào các đường dẫn CI/CD hiện có của bạn với quét tự động, thực thi chính sách và phản hồi theo thời gian thực.

GitLab CI

Tổng số lần quét:2,341
Lần chạy cuối2 min ago
Đường dẫn:container-security

GitHub Actions

Tổng số lần quét:1,892
Lần chạy cuối5 min ago
Đường dẫn:security-scan

Jenkins

Tổng số lần quét:3,156
Lần chạy cuối1 min ago
Đường dẫn:plexicus-scan

Azure DevOps

Tổng số lần quét:987
Lần chạy cuối3 min ago
Đường dẫn:container-check

Trạng thái đường dẫn trực tiếp

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

Tự động hóa tuân thủ

Giám sát và báo cáo tuân thủ tự động trên nhiều khung với khả năng thực thi chính sách và khắc phục theo thời gian thực.

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Kiểm tra tuân thủ
+12% this month
89%
Tự động khắc phục
+5% this month
23
Vi phạm chính sách
-18% this month

Tác động hiệu suất

Tác động hiệu suất tối thiểu với độ phủ bảo mật tối đa. Đại lý nhẹ của chúng tôi cung cấp bảo vệ toàn diện mà không làm giảm hiệu suất.

23MB
mỗi nút
Sử dụng bộ nhớ15%
<1%
trung bình
Sử dụng CPU8%
12KB/s
viễn thông
Mạng25%
45MB
lưu giữ 7 ngày
Lưu trữ35%

Runtime Agent Performance

+0.3s
Khởi động container
+0.1ms
Độ trễ ứng dụng
-0.02%
Lưu lượng mạng

Security Processing Statistics

2.3M
Sự kiện bảo mật đã xử lý
/ngày
12
Cảnh báo đã tạo
/ngày
95%
Tự động giải quyết
tỷ lệ thành công
<2%
Dương tính giả
độ chính xác
99.98% Thời gian hoạt động
Phản hồi dưới một giây
Giám sát thời gian thực

Bắt đầu ngay hôm nay

Chọn vai trò của bạn và bắt đầu với Plexicus Container Security. Bảo vệ các container của bạn từ xây dựng đến thời gian chạy chỉ trong vài phút.

DevSecOps Engineers

Thiết lập quét bảo mật container với thực thi chính sách tự động

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

Tích hợp API cho môi trường Kubernetes với giám sát thời gian thực

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

Quét container cục bộ và phát hiện lỗ hổng trong quá trình phát triển

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

Báo cáo tuân thủ và tạo dấu vết kiểm toán trên các khung

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
Bắt đầuXem Chính sáchLiên hệ

Không cần thẻ tín dụng • Dùng thử miễn phí 14 ngày • Truy cập đầy đủ tính năng