Bezpieczeństwo kontenerów i CI/CD
80% organizacji używających kontenerów miało incydenty bezpieczeństwa w ostatnim roku. Zabezpiecz obrazy, orkiestratory i pipeline wytwórczy. Shift left security w praktyce.
Czym jest bezpieczeństwo kontenerów i CI/CD?
Bezpieczeństwo kontenerów i CI/CD to audyt i hardening środowisk Docker, Kubernetes oraz pipeline wytwórczego obejmujący skanowanie obrazów, RBAC, Network Policies i ochronę supply chain przed atakami na łańcuch dostaw. nFlo wbudowuje security w każdy etap – od Dockerfile po runtime monitoring – realizując assessment w 2–3 tygodnie od 30 000 PLN.
Kontener to nie VM - inne zagrożenia, inne zabezpieczenia
Security dla nowoczesnej infrastruktury
Container Audit
Ocena bezpieczeństwa K8s i Docker
Pipeline Security
Zabezpieczenie CI/CD i artefaktów
Supply Chain
Ochrona przed atakami na łańcuch dostaw
Czym jest Bezpieczeństwo kontenerów i Kubernetes?
Bezpieczeństwo kontenerów i Kubernetes to ocena i wdrażanie bezpieczeństwa środowisk kontenerowych (Docker, Kubernetes), obejmujące skanowanie obrazów, runtime protection, network policies i compliance.
| Atrybut | Wartość |
|---|---|
| Platformy | Docker, Kubernetes, EKS, AKS, GKE |
| Zakres | Image scanning, runtime, network, RBAC |
| Narzędzia | Aqua, Prisma Cloud, Falco, Trivy |
| Czas realizacji | 2-4 tygodnie |
| Cena | od 30 000 PLN (stan na 2026) |
Supply chain attack przez backdoor w obrazie kontenera
Firma używała popularnego obrazu bazowego z Docker Hub. Po 6 miesiącach okazało się, że obraz zawierał backdoor - cryptominer wykorzystujący zasoby klastra. Szkoda: kilkadziesiąt tysięcy złotych w kosztach cloud + ryzyko wycieku danych. Nikt nie weryfikował integralności obrazów przed deploymentem.
Bez security dla kontenerów i CI/CD:
- Supply chain attacks - nieweryfikowane obrazy i zależności w produkcji
- Podatności w obrazach bazowych (CVE w bibliotekach systemowych)
- Misconfiguration klastrów Kubernetes (zbyt szerokie uprawnienia)
- Brak kontroli nad tym co trafia do pipeline i produkcji
DevSecOps od obrazu do runtime
Nie skanujemy obrazów tylko raz przed releasem. Budujemy security w każdym etapie: od Dockerfile przez pipeline CI/CD po runtime monitoring w klastrze. Bezpieczeństwo jako kod, nie jako proces manualny.
Co dostajesz:
- Audyt bezpieczeństwa klastrów Kubernetes (RBAC, Network Policies, PSS)
- Ocenę konfiguracji Docker Engine i Docker Compose
- Przegląd pipeline CI/CD (Jenkins, GitLab CI, GitHub Actions, ArgoCD)
- Image scanning - SAST dla Dockerfile i CVE w warstwach
- SBOM (Software Bill of Materials) dla wszystkich obrazów
- Supply chain security - weryfikacja sources i signing artefaktów
- Runtime security - monitoring anomalii w klastrach
- DevSecOps best practices i automation
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Używasz kontenerów w produkcji (Docker, containerd, Podman)
- Masz klastry Kubernetes (on-prem, EKS, AKS, GKE)
- Wdrażasz aplikacje przez CI/CD pipeline
- Potrzebujesz compliance (SOC 2, ISO 27001, PCI DSS)
- Chcesz przejść z reactive do proactive security
Kubernetes Security
Audyt i hardening klastrów K8s
1. Access Control (RBAC)
- Przegląd ról i uprawnień (ClusterRole, Role)
- Principle of least privilege
- Service accounts i token management
- Admission controllers (ValidatingWebhook, MutatingWebhook)
2. Network Security
- Network Policies (default deny, egress/ingress rules)
- Segmentacja namespace’ów
- Service mesh (Istio, Linkerd) dla mTLS
- Ingress security (TLS, WAF, rate limiting)
3. Pod Security
- Pod Security Standards (Baseline, Restricted)
- SecurityContext configuration
- AppArmor / SELinux profiles
- runAsNonRoot, readOnlyRootFilesystem
- seccomp profiles
4. Secrets Management
- Nie trzymaj secrets w ConfigMaps!
- External secrets (HashiCorp Vault, AWS Secrets Manager)
- Sealed Secrets / SOPS
- Encryption at rest dla etcd
5. Runtime Security
- Falco - runtime threat detection
- Monitoring anomalii (nietypowe syscalls, network)
- Container escape detection
- Forensics i audit logs
6. Supply Chain
- Image signing (Sigstore, Notary)
- Admission control - tylko signed images
- Private registry z scan on push
- SBOM dla wszystkich obrazów
Docker Security
Hardening Docker Engine i obrazów
1. Bezpieczne Dockerfile
BAD:
FROM ubuntu:latest
RUN apt-get update && apt-get install -y curl
COPY . /app
RUN chmod 777 /app
USER root
CMD ["/app/run.sh"]GOOD:
FROM ubuntu:22.04@sha256:xxx # pinned version + digest
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*
COPY --chown=appuser:appuser . /app
RUN chmod 755 /app
USER appuser # non-root
HEALTHCHECK CMD curl -f http://localhost/ || exit 1
CMD ["/app/run.sh"]2. Multi-stage builds
- Osobny stage do build (z compiler, tools)
- Runtime stage minimal (distroless, alpine)
- Kopiowanie tylko artefaktów, nie source code
3. Image scanning
- Skanowanie CVE w warstwach (Trivy, Grype, Snyk)
- Secrets scanning (gitleaks, trufflehog)
- Malware scanning
- License compliance
4. Docker Engine hardening
- Rootless mode
- User namespaces
- seccomp profile (default)
- AppArmor profile
- Resource limits (CPU, memory)
CI/CD Security
Zabezpieczanie pipeline wytwórczego
1. Pipeline Security
Jenkins:
- Credentials binding (nie hardcode secrets!)
- Pipeline as code (Jenkinsfile w repo)
- Agent security (isolated agents)
- Plugin vulnerability management
GitLab CI / GitHub Actions:
- Protected branches i environments
- Secret management (masked variables)
- Runner security (self-hosted vs. shared)
- Workflow approval gates
2. Supply Chain Attacks Prevention
SLSA (Supply Chain Levels for Software Artifacts):
- Level 1: Documentation (SBOM)
- Level 2: Source control + build service
- Level 3: Hardened build platform
- Level 4: Hermetic builds + two-party review
Praktyczne działania:
- Pinowanie wersji dependencies (npm, pip, go modules)
- Weryfikacja checksums i signatures
- Izolacja build environment
- Signing artefaktów (Cosign, GPG)
3. Code Analysis w Pipeline
SAST (Static Analysis):
- Semgrep, SonarQube, CodeQL
- Secrets detection (gitleaks)
- License compliance (FOSSA)
SCA (Software Composition Analysis):
- Dependency scanning (Dependabot, Snyk)
- CVE w bibliotekach third-party
- Outdated dependencies
Container Scanning:
- Image layers (Trivy, Grype)
- Base image vulnerabilities
- Misconfigurations (Dockerfile linting)
4. Artifact Management
Private Registry:
- Harbor, JFrog Artifactory, AWS ECR
- Scan on push
- Image signing enforcement
- Retention policies
SBOM Generation:
- Syft, Cyclone DX
- SBOM dla każdego obrazu
- Audytowalność dependencies
Supply Chain Security
Ochrona przed atakami na łańcuch dostaw
1. Typowe ataki
- Dependency confusion - podmiana pakietów npm/pip
- Typosquatting - podobne nazwy pakietów
- Compromised packages - backdoor w popularnej bibliotece
- Build poisoning - modyfikacja w pipeline CI/CD
- Registry takeover - przejęcie konta w Docker Hub
2. Defense in Depth
Source:
- Code signing commits (GPG)
- Branch protection rules
- Required reviews i CODEOWNERS
- Dependency review (GitHub, GitLab)
Build:
- Reproducible builds
- Hermetic build environment
- Artifact signing (Cosign)
- SLSA provenance
Deploy:
- Admission policies (tylko signed images)
- Runtime verification (signatures)
- Anomaly detection
Program wdrożenia
Faza 1: Assessment (2-3 tygodnie)
- Inventory: klastry, obrazy, pipeline
- Security audit K8s i Docker
- Przegląd CI/CD i dependencies
- Gap analysis i risk assessment
Faza 2: Quick Wins (1-2 miesiące)
- Image scanning w pipeline
- RBAC hardening w K8s
- Secrets management (Vault)
- Network policies (default deny)
Faza 3: DevSecOps Automation (2-4 miesiące)
- SAST/SCA w CI/CD
- Automatic SBOM generation
- Image signing i verification
- Runtime security monitoring (Falco)
- Policy as code (OPA, Kyverno)
Faza 4: Continuous Security
- Security champions w zespołach
- Automated compliance checks
- Red team exercises
- Threat modeling dla nowych features
Narzędzia DevSecOps
Stack security dla kontenerów
Image Scanning:
- Trivy - open source, fast
- Grype - Anchore tooling
- Snyk - commercial, great UX
Kubernetes Security:
- Kube-bench - CIS benchmark
- Kube-hunter - penetration testing
- Falco - runtime detection
- OPA Gatekeeper - policy enforcement
Supply Chain:
- Sigstore Cosign - signing
- Syft - SBOM generation
- SLSA framework - levels
CI/CD:
- Semgrep - SAST
- GitLeaks - secrets detection
- Dependabot - dependency updates
Powiązane pojęcia
Dowiedz się więcej o kluczowych pojęciach związanych z tą usługą:
Skontaktuj się z opiekunem
Porozmawiaj o Bezpieczeństwo kontenerów i CI/CD z dedykowanym opiekunem handlowym.
Jak pracujemy
Sprawdzony proces realizacji usługi.
Discovery
Inwentaryzacja kontenerów, obrazów, klastrów
Security Assessment
Audyt K8s, Docker, CI/CD pipeline
Hardening
Implementacja zabezpieczeń i best practices
Continuous Security
Automatyzacja i monitoring w pipeline
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Bezpieczny deployment
Tylko zweryfikowane obrazy trafiają do produkcji
Szybsze release
Security w pipeline, nie na końcu cyklu
Ochrona supply chain
Kontrolujesz zależności i artefakty
Compliance
Spełniasz wymogi audytów (SOC 2, ISO 27001)
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
CVE-2026-36576: Wstrzykiwanie poleceń OS w openlabs docker-wkhtmltopdf-aas
Podatność typu OS command injection w komponencie app.py produktu openlabs docker-wkhtmltopdf-aas do commitu 9f50579 pozwala atakującym wykonać dowolne polecenia poprzez spreparowane żądanie POST....
Czytaj więcej →CVE-2026-33587: Krytyczna podatność SSTI umożliwiająca zdalne wykonanie kodu w Lfnovo Open-Notebook - natychmiastowa aktualizacja wymagana
Brak sanityzacji danych wejściowych w Open Notebook v1.8.3 umożliwia użytkownikowi wykonanie kodu Python i poleceń systemu operacyjnego na kontenerze docker poprzez atак SSTI w transformacjach użytkownika...
Czytaj więcej →CVE-2026-33519: Niepoprawna autoryzacja developer credentials w Esri Portal for ArcGIS 11.4–12.0 — natychmiastowa aktualizacja wymagana
W Esri Portal for ArcGIS 11.4, 11.5 i 12.0 (Windows, Linux, Kubernetes) istnieje podatność niepoprawnej autoryzacji — system nie weryfikował poprawnie uprawnień przypisanych do developer credentials...
Czytaj więcej →Najczęściej zadawane pytania
Odpowiedzi na pytania dotyczące Bezpieczeństwo kontenerów i CI/CD.
Ile trwa audyt bezpieczeństwa Kubernetes i CI/CD?
Assessment trwa 2-3 tygodnie i obejmuje audyt klastrów K8s (RBAC, Network Policies, Pod Security), konfiguracji Docker, pipeline CI/CD oraz supply chain. Wdrożenie quick wins (image scanning, RBAC hardening, secrets management) zajmuje kolejne 1-2 miesiące.
Jakie platformy Kubernetes obsługujecie?
Audytujemy i hardenujemy zarówno klastry on-premise, jak i managed: Amazon EKS, Azure AKS, Google GKE. Obsługujemy też OpenShift i Rancher. Narzędzia, których używamy to m.in. kube-bench (CIS benchmark), Falco (runtime detection) i OPA Gatekeeper (policy enforcement).
Czy DevSecOps spowalnia nasz pipeline CI/CD?
Nie, jeśli jest dobrze wdrożony. Skanowanie obrazów (Trivy) trwa 30-60 sekund, SAST (Semgrep) 1-2 minuty. Kluczowe jest wbudowanie security w pipeline jako kolejny stage, nie jako bramka blokująca. Konfigurujemy progi severity, żeby pipeline nie blokował się na Low findings.
Jak chronicie przed supply chain attacks?
Wdrażamy signing obrazów (Sigstore Cosign), admission control (tylko podpisane obrazy w klastrze), generowanie SBOM dla wszystkich artefaktów, pinowanie wersji dependencies i weryfikację checksums. Budujemy ochronę na każdym etapie: source, build, deploy.