51 lines
1.8 KiB
TeX
51 lines
1.8 KiB
TeX
|
|
\chapter{Proof of Concept} % Fallstudie (10-14 Seiten)
|
|
|
|
\section{Bestehendes Setup}
|
|
\todox{besserer Name}
|
|
- Bestehender Stack: 20-30 Container (Liste der Services)
|
|
- Ursprüngliche Architektur: Monolithisch oder loosen coupled?
|
|
- Migrationshürden: Stateful Services, Secrets, Network Policies
|
|
|
|
\section{Security-Gates}
|
|
\todox{besserer Name}
|
|
| Gate | Implementierung | Ergebnis |
|
|
|------|-----------------|----------|
|
|
| SBOM-Erstellung | Syft $\rightarrow$ SPDX JSON | 100\% der Images haben SBOM |
|
|
| Image-Signing | Cosign $\rightarrow$ Sigstore | 100\% signiert |
|
|
| Vulnerability Scan | Trivy $\rightarrow$ SARIF | 0 critical CVEs in Production |
|
|
| Policy Enforcement | OPA Gatekeeper | Blockiert unsigned Images |
|
|
|
|
\section{Automatisierte Patch-Pipeline}
|
|
```
|
|
CVE-Veröffentlichung (z.B. Log4j)
|
|
|
|
Trivy-Scan detektiert CVE (automatisch)
|
|
|
|
Alert an DevOps-Team (Slack/Email)
|
|
|
|
Developer $\rightarrow$ Update Dependency $\rightarrow$ Push
|
|
|
|
CI-Pipeline $\rightarrow$ Rebuild $\rightarrow$ Re-Scan $\rightarrow$ Re-Sign
|
|
|
|
Argo CD $\rightarrow$ Auto-Sync (Air-Gapped nach 24h Sync)
|
|
|
|
|
|
Deployed in <48h (gemessen: 36h)
|
|
```
|
|
|
|
\section{}Metriken \& Ergebnisse**
|
|
| Metrik | Vorher | Nachher | Ziel |
|
|
|--------|--------|---------|------|
|
|
| Deployment-Zeit (Online) | 2h | 15min | kleiner gleich30min n |
|
|
| Deployment-Zeit (Air-Gapped) | 1 Tag (manuell) | 30min (auto) | kleiner gleich45min n |
|
|
| kritische CVEs in Production | unbekannt | 0 | 0 n |
|
|
| Patch-Reaktionszeit | <7 Tage | 36h | kleiner gleich48h n |
|
|
| Automatisierungsgrad | 40% | 92% | >90% n |
|
|
|
|
**6.5 Lessons Learned**
|
|
- Trivy-Database muss separat gemanagt werden (Air-Gapped)
|
|
- Image-Signing fügt ~2min zu CI-Pipeline hinzu (akzeptabel)
|
|
- Documentation ist kritisch für Air-Gapped-Setup ( Runbooks schreiben!)
|
|
|
|
*** |