Bezpieczeństwo kontenerów i CI/CD
80% organizacji używających kontenerów miało incydenty bezpieczeństwa w ostatnim roku. Zabezpiecz obrazy, orkiestratory i pipeline wytwórczy. Shift left security w praktyce.
Kontener to nie VM - inne zagrożenia, inne zabezpieczenia
Security dla nowoczesnej infrastruktury
Container Audit
Ocena bezpieczeństwa K8s i Docker
Pipeline Security
Zabezpieczenie CI/CD i artefaktów
Supply Chain
Ochrona przed atakami na łańcuch dostaw
Czym jest Bezpieczeństwo kontenerów i Kubernetes?
Bezpieczeństwo kontenerów i Kubernetes to ocena i wdrażanie bezpieczeństwa środowisk kontenerowych (Docker, Kubernetes), obejmujące skanowanie obrazów, runtime protection, network policies i compliance.
| Atrybut | Wartość |
|---|---|
| Platformy | Docker, Kubernetes, EKS, AKS, GKE |
| Zakres | Image scanning, runtime, network, RBAC |
| Narzędzia | Aqua, Prisma Cloud, Falco, Trivy |
| Czas realizacji | 2-4 tygodnie |
| Cena | od 30 000 PLN (stan na 2026) |
nFlo oferuje bezpieczeństwo kontenerów i kubernetes dla firm w Polsce, zapewniając profesjonalne wsparcie i zgodność z najlepszymi praktykami branżowymi.
Supply chain attack przez backdoor w obrazie kontenera
Firma używała popularnego obrazu bazowego z Docker Hub. Po 6 miesiącach okazało się, że obraz zawierał backdoor - cryptominer wykorzystujący zasoby klastra. Szkoda: kilkadziesiąt tysięcy złotych w kosztach cloud + ryzyko wycieku danych. Nikt nie weryfikował integralności obrazów przed deploymentem.
Bez security dla kontenerów i CI/CD:
- Supply chain attacks - nieweryfikowane obrazy i zależności w produkcji
- Podatności w obrazach bazowych (CVE w bibliotekach systemowych)
- Misconfiguration klastrów Kubernetes (zbyt szerokie uprawnienia)
- Brak kontroli nad tym co trafia do pipeline i produkcji
DevSecOps od obrazu do runtime
Nie skanujemy obrazów tylko raz przed releasem. Budujemy security w każdym etapie: od Dockerfile przez pipeline CI/CD po runtime monitoring w klastrze. Bezpieczeństwo jako kod, nie jako proces manualny.
Co dostajesz:
- Audyt bezpieczeństwa klastrów Kubernetes (RBAC, Network Policies, PSS)
- Ocenę konfiguracji Docker Engine i Docker Compose
- Przegląd pipeline CI/CD (Jenkins, GitLab CI, GitHub Actions, ArgoCD)
- Image scanning - SAST dla Dockerfile i CVE w warstwach
- SBOM (Software Bill of Materials) dla wszystkich obrazów
- Supply chain security - weryfikacja sources i signing artefaktów
- Runtime security - monitoring anomalii w klastrach
- DevSecOps best practices i automation
Dla kogo?
Ta usługa jest dla Ciebie, jeśli:
- Używasz kontenerów w produkcji (Docker, containerd, Podman)
- Masz klastry Kubernetes (on-prem, EKS, AKS, GKE)
- Wdrażasz aplikacje przez CI/CD pipeline
- Potrzebujesz compliance (SOC 2, ISO 27001, PCI DSS)
- Chcesz przejść z reactive do proactive security
Kubernetes Security
Audyt i hardening klastrów K8s
1. Access Control (RBAC)
- Przegląd ról i uprawnień (ClusterRole, Role)
- Principle of least privilege
- Service accounts i token management
- Admission controllers (ValidatingWebhook, MutatingWebhook)
2. Network Security
- Network Policies (default deny, egress/ingress rules)
- Segmentacja namespace’ów
- Service mesh (Istio, Linkerd) dla mTLS
- Ingress security (TLS, WAF, rate limiting)
3. Pod Security
- Pod Security Standards (Baseline, Restricted)
- SecurityContext configuration
- AppArmor / SELinux profiles
- runAsNonRoot, readOnlyRootFilesystem
- seccomp profiles
4. Secrets Management
- Nie trzymaj secrets w ConfigMaps!
- External secrets (HashiCorp Vault, AWS Secrets Manager)
- Sealed Secrets / SOPS
- Encryption at rest dla etcd
5. Runtime Security
- Falco - runtime threat detection
- Monitoring anomalii (nietypowe syscalls, network)
- Container escape detection
- Forensics i audit logs
6. Supply Chain
- Image signing (Sigstore, Notary)
- Admission control - tylko signed images
- Private registry z scan on push
- SBOM dla wszystkich obrazów
Docker Security
Hardening Docker Engine i obrazów
1. Bezpieczne Dockerfile
BAD:
FROM ubuntu:latest
RUN apt-get update && apt-get install -y curl
COPY . /app
RUN chmod 777 /app
USER root
CMD ["/app/run.sh"]GOOD:
FROM ubuntu:22.04@sha256:xxx # pinned version + digest
RUN apt-get update && apt-get install -y curl && rm -rf /var/lib/apt/lists/*
COPY --chown=appuser:appuser . /app
RUN chmod 755 /app
USER appuser # non-root
HEALTHCHECK CMD curl -f http://localhost/ || exit 1
CMD ["/app/run.sh"]2. Multi-stage builds
- Osobny stage do build (z compiler, tools)
- Runtime stage minimal (distroless, alpine)
- Kopiowanie tylko artefaktów, nie source code
3. Image scanning
- Skanowanie CVE w warstwach (Trivy, Grype, Snyk)
- Secrets scanning (gitleaks, trufflehog)
- Malware scanning
- License compliance
4. Docker Engine hardening
- Rootless mode
- User namespaces
- seccomp profile (default)
- AppArmor profile
- Resource limits (CPU, memory)
CI/CD Security
Zabezpieczanie pipeline wytwórczego
1. Pipeline Security
Jenkins:
- Credentials binding (nie hardcode secrets!)
- Pipeline as code (Jenkinsfile w repo)
- Agent security (isolated agents)
- Plugin vulnerability management
GitLab CI / GitHub Actions:
- Protected branches i environments
- Secret management (masked variables)
- Runner security (self-hosted vs. shared)
- Workflow approval gates
2. Supply Chain Attacks Prevention
SLSA (Supply Chain Levels for Software Artifacts):
- Level 1: Documentation (SBOM)
- Level 2: Source control + build service
- Level 3: Hardened build platform
- Level 4: Hermetic builds + two-party review
Praktyczne działania:
- Pinowanie wersji dependencies (npm, pip, go modules)
- Weryfikacja checksums i signatures
- Izolacja build environment
- Signing artefaktów (Cosign, GPG)
3. Code Analysis w Pipeline
SAST (Static Analysis):
- Semgrep, SonarQube, CodeQL
- Secrets detection (gitleaks)
- License compliance (FOSSA)
SCA (Software Composition Analysis):
- Dependency scanning (Dependabot, Snyk)
- CVE w bibliotekach third-party
- Outdated dependencies
Container Scanning:
- Image layers (Trivy, Grype)
- Base image vulnerabilities
- Misconfigurations (Dockerfile linting)
4. Artifact Management
Private Registry:
- Harbor, JFrog Artifactory, AWS ECR
- Scan on push
- Image signing enforcement
- Retention policies
SBOM Generation:
- Syft, Cyclone DX
- SBOM dla każdego obrazu
- Audytowalność dependencies
Supply Chain Security
Ochrona przed atakami na łańcuch dostaw
1. Typowe ataki
- Dependency confusion - podmiana pakietów npm/pip
- Typosquatting - podobne nazwy pakietów
- Compromised packages - backdoor w popularnej bibliotece
- Build poisoning - modyfikacja w pipeline CI/CD
- Registry takeover - przejęcie konta w Docker Hub
2. Defense in Depth
Source:
- Code signing commits (GPG)
- Branch protection rules
- Required reviews i CODEOWNERS
- Dependency review (GitHub, GitLab)
Build:
- Reproducible builds
- Hermetic build environment
- Artifact signing (Cosign)
- SLSA provenance
Deploy:
- Admission policies (tylko signed images)
- Runtime verification (signatures)
- Anomaly detection
Program wdrożenia
Faza 1: Assessment (2-3 tygodnie)
- Inventory: klastry, obrazy, pipeline
- Security audit K8s i Docker
- Przegląd CI/CD i dependencies
- Gap analysis i risk assessment
Faza 2: Quick Wins (1-2 miesiące)
- Image scanning w pipeline
- RBAC hardening w K8s
- Secrets management (Vault)
- Network policies (default deny)
Faza 3: DevSecOps Automation (2-4 miesiące)
- SAST/SCA w CI/CD
- Automatic SBOM generation
- Image signing i verification
- Runtime security monitoring (Falco)
- Policy as code (OPA, Kyverno)
Faza 4: Continuous Security
- Security champions w zespołach
- Automated compliance checks
- Red team exercises
- Threat modeling dla nowych features
Narzędzia DevSecOps
Stack security dla kontenerów
Image Scanning:
- Trivy - open source, fast
- Grype - Anchore tooling
- Snyk - commercial, great UX
Kubernetes Security:
- Kube-bench - CIS benchmark
- Kube-hunter - penetration testing
- Falco - runtime detection
- OPA Gatekeeper - policy enforcement
Supply Chain:
- Sigstore Cosign - signing
- Syft - SBOM generation
- SLSA framework - levels
CI/CD:
- Semgrep - SAST
- GitLeaks - secrets detection
- Dependabot - dependency updates
Jak pracujemy
Sprawdzony proces realizacji usługi.
Discovery
Inwentaryzacja kontenerów, obrazów, klastrów
Security Assessment
Audyt K8s, Docker, CI/CD pipeline
Hardening
Implementacja zabezpieczeń i best practices
Continuous Security
Automatyzacja i monitoring w pipeline
Korzyści dla Twojej firmy
Co zyskujesz wybierając tę usługę.
Bezpieczny deployment
Tylko zweryfikowane obrazy trafiają do produkcji
Szybsze release
Security w pipeline, nie na końcu cyklu
Ochrona supply chain
Kontrolujesz zależności i artefakty
Compliance
Spełniasz wymogi audytów (SOC 2, ISO 27001)
Powiązane artykuły
Pogłęb swoją wiedzę z naszej bazy wiedzy.
Dlaczego SOC jest praktycznie niezbędny dla zgodności z KSC/NIS2?
Przepisy KSC/NIS2 nie wymagają wprost posiadania SOC. Jednak 24-godzinny obowiązek zgłaszania incydentów poważnych sprawia, że bez dojrzałych mechanizmów monitorowania spełnienie wymogów staje się praktycznie niemożliwe.
Czytaj więcej →Vulnerability Disclosure - Jak odpowiedzialnie zgłaszać podatności
Kompletny przewodnik po odpowiedzialnym zgłaszaniu podatności. Responsible disclosure, CVE, security.txt, aspekty prawne w Polsce.
Czytaj więcej →Łańcuchowa eksploitacja n8n: jak RidgeBot wykrywa przejęcie workflow w praktyce
Seria krytycznych podatności w n8n pokazuje, jak łańcuchowa eksploitacja może prowadzić do całkowitego przejęcia infrastruktury automatyzacji. RidgeBot jako platforma do ciągłej walidacji bezpieczeństwa wykrywa takie scenariusze zanim zrobią to atakujący.
Czytaj więcej →Skontaktuj sie z opiekunem
Porozmawiaj o Bezpieczeństwo kontenerów i CI/CD z dedykowanym opiekunem handlowym.