Plexicus Logo

Command Palette

Search for a command to run...

容器 Kubernetes 安全

您的容器充满漏洞

  • 87%的容器镜像包含高严重性漏洞
  • Kubernetes 默认设置允许权限升级
  • 容器注册表暴露秘密

Plexicus 容器安全从构建到运行时发现并修复容器漏洞。

Container Security Lifecy...

Container Security Lifecycle

从构建到运行时的完整保护,每个阶段进行漏洞扫描。

Learn More

Image Vulnerability Scann...

Image Vulnerability Scanning

基础镜像、依赖项、操作系统包和库的深层分析,并生成SBOM。

Learn More

Kubernetes Configuration ...

Kubernetes Configuration Security

CIS Kubernetes基准,包含100多个安全控制、Pod安全标准和自动修复。

Learn More

Runtime Protection

Runtime Protection

容器行为监控,包含进程跟踪、网络分析和逃逸检测。

Learn More

Supply Chain Security

Supply Chain Security

Docker Hub、Harbor、AWS ECR的注册表集成,支持CI/CD管道安全扫描。

Learn More

Performance Impact Analys...

Performance Impact Analysis

最小开销,<1% CPU使用率,每个节点20MB内存,<50ms网络延迟。

Learn More

SBOM Generation

SBOM Generation

软件材料清单,包含完整的依赖项跟踪、许可证合规和供应链可见性。

Learn More

Auto-Remediation Engine

Auto-Remediation Engine

自动修复Kubernetes错误配置和策略违规的安全配置。

Learn More

Container Escape Detectio...

Container Escape Detection

高级突破检测,包含系统调用监控、挂载监控和实时安全警报。

Learn More

Registry Integration

Registry Integration

支持Docker Hub、Harbor、AWS ECR、Azure ACR、GCR,包含webhook配置和自动扫描。

Learn More

Policy Engine

Policy Engine

CVE阈值、许可证检查、秘密检测、K8s最佳实践和网络策略执行。

Learn More

API Integration

API Integration

REST API用于漏洞发现、webhook集成和实时安全通知。

Learn More

构建阶段

攻击向量

基础镜像漏洞
  • EOL Ubuntu 18.04 中的367个CVE
  • 未修补的系统库
  • 基础层中的恶意软件
Dockerfile问题
  • 镜像中硬编码的秘密
  • 以root用户运行
  • 无包固定

Plexicus防御

Dockerfile分析
  • 基础镜像漏洞扫描
  • 秘密检测和移除
  • 安全最佳实践执行
SBOM生成
  • 完整的依赖关系映射
  • 许可证合规检查
  • 供应链验证

注册阶段

注册漏洞

镜像漏洞
  • CVE-2021-44228 (Log4Shell)
  • CVE-2022-0778 (OpenSSL DoS)
  • 暴露的API密钥和秘密
注册暴露
  • 公共注册配置错误
  • 未签名的镜像
  • 恶意软件注入

注册安全

漏洞扫描
  • 实时CVE检测
  • 恶意软件分析
  • 秘密发现和移除
镜像签名
  • Cosign集成
  • SBOM验证
  • 供应链验证

部署阶段

部署风险

Kubernetes配置错误
  • 特权容器
  • 主机网络访问
  • 无资源限制
RBAC问题
  • 权限过高的服务账户
  • 弱网络策略
  • 缺少准入控制

策略执行

准入控制器
  • Pod安全标准
  • 资源配额执行
  • 镜像验证
网络策略
  • 零信任网络
  • 入口/出口控制
  • DNS安全

运行时阶段

运行时攻击

权限提升
  • 容器突破尝试
  • 内核漏洞
  • SUID二进制滥用
恶意活动
  • 加密货币挖矿
  • 数据外泄
  • 横向移动

运行时保护

行为分析
  • 进程监控
  • 网络流量分析
  • 文件完整性监控
自动响应
  • 进程终止
  • 容器隔离
  • 警报生成

容器漏洞现实检查

查看Plexicus如何检测和修复真实世界的容器漏洞

典型容器镜像分析

交互式终端比较
BEFOREAFTER
secure-dockerfile
$docker build -t secure-app .
✅ SECURE CONFIGURATION
1# 安全的Dockerfile
2FROM ubuntu:22.04  # ✅ 支持的基础镜像
3RUN apt-get update && apt-get install -y --no-install-recommends \
4    package1=1.2.3 package2=4.5.6 && \\  # ✅ 固定包版本
5    rm -rf /var/lib/apt/lists/*  # ✅ 减少镜像大小
6COPY --chown=app:app . /app/  # ✅ 正确的权限
7RUN useradd -r app
8USER app  # ✅ 非root用户
9EXPOSE 8080  # ✅ 非特权端口
10# ✅ 通过环境管理秘密
11COPY . /app/
12CMD [python, app.py]
13 
Lines: 13Security: PASSED
vulnerable-dockerfile
$docker build -t vulnerable-app .
❌ VULNERABLE CONFIGURATION
1# 脆弱的Dockerfile
2FROM ubuntu:18.04  # ❌ 已终止支持的基础镜像(367个CVE)
3RUN apt-get update  # ❌ 没有固定包版本
4COPY secrets.json /app/  # ❌ 镜像中包含秘密
5RUN useradd app
6USER root  # ❌ 以root身份运行
7EXPOSE 22  # ❌ 暴露SSH端口
8ENV API_KEY=sk-1234567890  # ❌ 环境变量中包含秘密
9COPY . /app/
10CMD [python, app.py]
11 
Lines: 11Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

Plexicus检测结果:

$ plexicus analyze --dockerfile Dockerfile --output=pretty
Scan Results
Critical: 23
High: 67
Medium: 124
Low: 89
Secrets: 3
Malware: 0
Config: 12
License: 4
Critical Issues:
• CVE-2021-44228 (Log4Shell) - Apache Log4j RCE
• CVE-2022-0778 (OpenSSL) - 无限循环拒绝服务攻击
• 硬编码的 API 密钥在环境变量中
• 以 Root 用户执行 (UID 0)
• SSH 服务暴露在端口 22
Auto-Fix Available: 19/23 critical issues

Kubernetes 安全灾难

kubectl 配置比较

Vulnerable

  • 特权容器(完全主机访问)
  • 以 Root 用户执行
  • 主机文件系统已挂载
  • 主机网络访问
  • 无资源限制

Plexicus 安全

  • 无特权升级
  • 非 Root 用户执行
  • 只读文件系统
  • 最小化权限
  • 强制资源限制
BEFOREAFTER
secure-pod.yaml
$kubectl apply -f secure-pod.yaml
✅ SECURE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: secure-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.21  # ✅ 更新的安全版本
9    securityContext:
10      allowPrivilegeEscalation: false  # ✅ 无特权升级
11      runAsNonRoot: true              # ✅ 非root用户
12    
13      runAsUser: 1000                 # ✅ 特定UID
14      readOnlyRootFilesystem:
15      true    # ✅ 只读文件系统
16      capabilities:
17        drop: [ALL]
18        # ✅ 删除所有能力
19        add: [NET_BIND_SERVICE]
20     # ✅ 仅需要的能力
21    resources:
22      limits:
23        memory:
24      256Mi               # ✅ 资源限制
25        cpu: 200m
26        ephemeral-storage:
27      1Gi
28      requests:
29        memory: 128Mi
30        cpu: 100m
31    livenessProbe:
32                          # ✅ 健康检查
33      httpGet:
34        path: /health
35 
36        port: 8080
37    readinessProbe:
38      httpGet:
39        path: /ready
40 
41        port: 8080
42 
Lines: 42Security: PASSED
vulnerable-pod.yaml
$kubectl apply -f vulnerable-pod.yaml
❌ VULNERABLE CONFIGURATION
1apiVersion: v1
2kind: Pod
3metadata:
4  name: vulnerable-app
5spec:
6  containers:
7  - name: app
8    image: nginx:1.14  # ❌ 易受攻击的版本
9    securityContext:
10      privileged: true  # ❌ 完全主机访问
11      runAsUser: 0     # ❌ 根用户
12    volumeMounts:
13    - name: host-root
14      mountPath: /host  # ❌ 主机文件系统访问
15  volumes:
16  - name: host-root
17    hostPath:
18      path: /          # ❌ 挂载主机根目录
19  hostNetwork: true    # ❌ 主机 网络访问
20  hostPID: true        # ❌ 主机 PID 命名空间
21 
Lines: 21Security: FAILED

VULNERABLE

Security Issues:HIGH
Risk Level:CRITICAL

SECURED

Security Issues:NONE
Risk Level:LOW

多阶段安全架构

全面保护整个容器生命周期,具有互动监控

Build Stage Security
Dockerfile分析、基础镜像验证和SBOM生成
Registry Protection
漏洞扫描、恶意软件检测和秘密发现
Deploy Validation
策略验证、RBAC检查和准入控制
CPU
23%
MEM
67%
NET
12KB/s
Runtime Protection Dashboard
实时监控与进程、网络和文件完整性监控
Threat Detection
使用机器学习模型进行行为分析和异常检测
Auto Response
自动修复和事件响应
94% CIS
Compliance Monitoring
CIS Kubernetes基准和持续合规验证

Kubernetes Policy Engine

交互式策略管理与实时验证和自动修复

Pod Security Standards

no-privileged-containers

防止特权容器执行

non-root-user

确保容器以非root用户运行

read-only-filesystem

强制执行只读根文件系统

自动修复可用

3个策略违规可以通过一键修复自动解决。

网络策略验证

检测到的问题

  • 生产命名空间中没有网络策略
  • 不受限制的pod到pod通信
  • 所有端口允许外部流量

自动生成的策略

  • 创建拒绝所有默认策略
  • 应用程序特定的入口规则
  • 数据库出口限制

RBAC控制

服务账户分析

23
最小权限
7
权限过高
2
管理员访问

角色绑定建议

  • 从默认服务账户中移除集群管理员
  • 为应用程序创建特定命名空间的角色
  • 实施即时访问进行调试

准入控制

Webhook 状态

plexicus-container-policy
活跃

最近阻止

特权容器已阻止2 分钟前
未签名的镜像已拒绝5 分钟前
资源限制违规8 分钟前

软件供应链安全

使用全面的SBOM生成、依赖分析和容器签名功能来保护整个软件供应链。

Active

SBOM Generation

自动化软件材料清单生成,提供完整的依赖可视化

CycloneDX Format
SPDX Compatible
实时更新
漏洞映射
Scanning

Dependency Analysis

深度分析容器依赖和供应链风险

CVE 跟踪
许可证合规
过时包
安全公告
Secured

Container Signing

容器镜像的数字签名和验证以确保真实性

Cosign 集成
Notary 支持
密钥管理
签名验证
Protected

Supply Chain Attacks

防止供应链妥协和恶意依赖

恶意软件检测
拼写错误攻击
后门分析
威胁情报
SBOM Analysis Results

Vulnerability Assessment

apache-log4j-core
2.14.1
Critical
CVSS 10
spring-boot-starter
2.5.6
High
CVSS 8.1
jackson-databind
2.12.3
High
CVSS 7.5
netty-common
4.1.65
Medium
CVSS 5.9

SBOM Generation

$ plexicus sbom generate --format cyclonedx
{
"bomFormat": "CycloneDX",
"specVersion": "1.4",
"components": [
{
"type": "library",
"name": "apache-log4j-core",
"version": "2.14.1",
"vulnerabilities": [
{
"id": "CVE-2021-44228",
"severity": "critical"
}
]
}
]
}
2.3M+
Dependencies Tracked
45K+
Vulnerabilities Found
890K+
Images Signed
1.2K+
Supply Chain Attacks Blocked

CI/CD Integration

无缝集成容器安全到您现有的CI/CD管道,提供自动扫描、策略执行和实时反馈。

GitLab CI

总扫描次数:2,341
上次运行2 min ago
管道:container-security

GitHub Actions

总扫描次数:1,892
上次运行5 min ago
管道:security-scan

Jenkins

总扫描次数:3,156
上次运行1 min ago
管道:plexicus-scan

Azure DevOps

总扫描次数:987
上次运行3 min ago
管道:container-check

实时管道状态

Code Commit
30s
Build Image
2m 15s
Security Scan
1m 30s
Policy Check
-
Deploy
-
.gitlab-ci.yml
stages:
- build
- security
- deploy
container-security:
stage: security
image: python:3.9-slim
script:
- python analyze.py --config=container-config.yaml
- curl -X POST "https://api.plexicus.com/scan"
artifacts:
reports:
container_scanning: plexicus-results.json

合规自动化

在多个框架中进行自动合规监控和报告,具有实时策略执行和补救能力。

+2%

CIS Kubernetes Benchmark

Compliance Score94%
Passed:47/50
Failed:3
+5%

NIST Cybersecurity Framework

Compliance Score89%
Passed:40/45
Failed:5
+1%

PCI DSS Requirements

Compliance Score92%
Passed:32/35
Failed:3
+3%

SOC 2 Type II

Compliance Score87%
Passed:24/28
Failed:4

CIS Kubernetes Benchmark Results

SectionScorePassFailAuto-FixTrend
Control Plane94%4732 applied
Worker Nodes89%2333 applied
Policies91%3244 applied
158
Compliance Checks
+12% this month
89%
Auto-Remediated
+5% this month
23
Policy Violations
-18% this month

性能影响

最小的性能开销,最大限度的安全覆盖。我们的轻量级代理提供全面保护而不影响性能。

23MB
每节点
内存使用15%
<1%
平均
CPU使用8%
12KB/s
遥测
网络25%
45MB
7天保留
存储35%

Runtime Agent Performance

+0.3s
容器启动
+0.1ms
应用延迟
-0.02%
网络吞吐量

Security Processing Statistics

2.3M
处理的安全事件
/天
12
生成的警报
/天
95%
自动解决
成功率
<2%
误报
准确性
99.98% Uptime
亚秒响应
实时监控

今天开始

选择您的角色并开始使用 Plexicus 容器安全。几分钟内即可从构建到运行时保护您的容器。

DevSecOps Engineers

设置容器安全扫描与自动化策略执行

Terminal
$ python analyze.py --config=container-security-config.yaml --files=Dockerfile,k8s/,docker-compose.yml --auto

Platform Engineers

Kubernetes环境的API集成与实时监控

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: create-repo, extra_data: {repository_name: k8s-cluster, environment: production}}

Developers

开发过程中本地容器扫描与漏洞检测

Terminal
$ python analyze.py --config=docker-config.yaml --files=Dockerfile --output=pretty

Compliance Teams

跨框架的合规报告与审计追踪生成

Terminal
$ curl -X POST https://api.plexicus.com/receive_plexalyzer_message -H Authorization: Bearer ${PLEXICUS_TOKEN} -H Content-Type: application/json -d {request: get-enriched-findings, extra_data: {compliance_frameworks: [cis, nist, pci]}}
开始使用查看政策联系我们

无需信用卡 • 14天免费试用 • 完全功能访问