50 lines
1.7 KiB
TeX
50 lines
1.7 KiB
TeX
|
|
\section{Proof of Concept} % Fallstudie (10-14 Seiten)
|
|
|
|
\subsection{Bestehendes Setup}
|
|
\todox{besserer Name}
|
|
- Bestehender Stack: 20-30 Container (Liste der Services)
|
|
- Ursprüngliche Architektur: Monolithisch oder loosen coupled?
|
|
- Migrationshürden: Stateful Services, Secrets, Network Policies
|
|
|
|
\subsection{Security-Gates}
|
|
\todox{besserer Name}
|
|
| Gate | Implementierung | Ergebnis |
|
|
|------|-----------------|----------|
|
|
| SBOM-Erstellung | Syft → SPDX JSON | 100% der Images haben SBOM |
|
|
| Image-Signing | Cosign → Sigstore | 100% signiert |
|
|
| Vulnerability Scan | Trivy → SARIF | 0 critical CVEs in Production |
|
|
| Policy Enforcement | OPA Gatekeeper | Blockiert unsigned Images |
|
|
|
|
\subsection{Automatisierte Patch-Pipeline}
|
|
```
|
|
CVE-Veröffentlichung (z.B. Log4j)
|
|
↓
|
|
Trivy-Scan detektiert CVE (automatisch)
|
|
↓
|
|
Alert an DevOps-Team (Slack/Email)
|
|
↓
|
|
Developer → Update Dependency → Push
|
|
↓
|
|
CI-Pipeline → Rebuild → Re-Scan → Re-Sign
|
|
↓
|
|
Argo CD → Auto-Sync (Air-Gapped nach 24h Sync)
|
|
↓
|
|
Deployed in <48h (gemessen: 36h)
|
|
```
|
|
|
|
\subsection{}Metriken & Ergebnisse**
|
|
| Metrik | Vorher | Nachher | Ziel |
|
|
|--------|--------|---------|------|
|
|
| Deployment-Zeit (Online) | 2h | 15min | ≤30min ✅ |
|
|
| Deployment-Zeit (Air-Gapped) | 1 Tag (manuell) | 30min (auto) | ≤45min ✅ |
|
|
| kritische CVEs in Production | unbekannt | 0 | 0 ✅ |
|
|
| Patch-Reaktionszeit | <7 Tage | 36h | ≤48h ✅ |
|
|
| Automatisierungsgrad | 40% | 92% | >90% ✅ |
|
|
|
|
**6.5 Lessons Learned**
|
|
- Trivy-Database muss separat gemanagt werden (Air-Gapped)
|
|
- Image-Signing fügt ~2min zu CI-Pipeline hinzu (akzeptabel)
|
|
- Documentation ist kritisch für Air-Gapped-Setup ( Runbooks schreiben!)
|
|
|
|
*** |