\section{Architekturbewertung} %(14-18 Seiten) \subsection{ATAM: Utility Tree} \todox{Umbenennen in was gutes} ``` Verfügbarkeit (Weight: 0.3) ├── Air-Gapped-Betrieb 99,9% ohne Internet (Szenario S1) ├── Failover-Zeit <5 Min bei Cluster-Ausfall (S2) └── Cluster-Provisioning <2h (S3) Security (Weight: 0.4) ├── 0 kritische CVEs in Production (S4) ├── Image-Verifizierung (nur signierte Images) (S5) └── Patch-Reaktionszeit ≤48h (S6) Wartbarkeit (Weight: 0.3) ├── Automatisierungsgrad >90% (S7) ├── Deployment-Zeit ≤30min (Air-Gapped) (S8) └── Vollständige Dokumentation (arc42) (S9) ``` \subsection{Szenarien-Bewertung} \todox{Besserer Titel} | Szenario | Auslöser | Erwartetes Ergebnis | Bewertung | |----------|----------|---------------------|-----------| | S1: Air-Gapped ohne Internet | Netzwerktrennung | System läuft voll funktionsfähig | ⭐⭐⭐⭐ Gut | | S4: CVE-Veröffentlichung | Critical CVE in Image | Patch innerhalb 48h deployed | ⭐⭐⭐ Mittel (Risiko) | | S5: Image-Verifikation | Unsigned Image in Registry | Argo CD blockiert Sync | ⭐⭐⭐⭐ Gut | | S7: Automatisierung | Manuelle Steps zählen | <10% manuelle Intervention | ⭐⭐⭐⭐ Gut | \subsection{STRIDE-Security-Bewertung} | Bedrohung | Risiko | Gegenmaßnahme | |-----------|--------|---------------| | **Spoofing** (Identity) | Mittel | mTLS, RBAC, OIDC-Auth | | **Tampering** (Image) | Hoch | Image-Signing (Cosign), Verification | | **Repudiation** (Audit) | Niedrig | Audit-Logging (Falco) | | **Info Disclosure** (Secrets) | Hoch | Vault, Encryption at Rest | | **DoS** (Cluster) | Mittel | Resource Limits, Network Policies | | **Elevation** (Privileges) | Hoch | Pod Security Standards, least privilege | \subsection{}Risiken identifizieren** | Risiko | Wahrscheinlichkeit | Auswirkung | Gegenmaßnahme | |--------|-------------------|------------|---------------| | Image-Sync-Lücke (veraltete Images) | Mittel | Hoch | Automatisiertes Scheduling (alle 24h), Alerting | | Man-in-the-Middle bei USB-Transfer | Niedrig | Hoch | Image-Signing, Hash-Verification | | Human Error bei Air-Gapped-Setup | Mittel | Hoch | Runbooks, Dokumentation, Training [7] | | Trivy-Database veraltet (Air-Gapped) | Hoch | Mittel | Automatisierte DB-Sync mit externer Quelle | **5.5 Tradeoff-Analyse** | Tradeoff | Lösung | |----------|--------| | Security-Scans verlangsamen CI (5-10min) | Parallelisierung, Caching, Incremental Scans | | Air-Gapped-Aktualität vs. Sicherheit | 24h-Sync + Critical-Patch-Bypass-Prozess | | Automatisierungsgewinn vs. Komplexität | Graduelle Einführung, Documentation First | ***