2
0
Files
bachelor/Chapters/06-PoC.tex
2026-06-29 20:01:21 +02:00

50 lines
1.7 KiB
TeX

\section{Proof of Concept} % Fallstudie (10-14 Seiten)
\subsection{Bestehendes Setup}
\todox{besserer Name}
- Bestehender Stack: 20-30 Container (Liste der Services)
- Ursprüngliche Architektur: Monolithisch oder loosen coupled?
- Migrationshürden: Stateful Services, Secrets, Network Policies
\subsection{Security-Gates}
\todox{besserer Name}
| Gate | Implementierung | Ergebnis |
|------|-----------------|----------|
| SBOM-Erstellung | Syft → SPDX JSON | 100% der Images haben SBOM |
| Image-Signing | Cosign → Sigstore | 100% signiert |
| Vulnerability Scan | Trivy → SARIF | 0 critical CVEs in Production |
| Policy Enforcement | OPA Gatekeeper | Blockiert unsigned Images |
\subsection{Automatisierte Patch-Pipeline}
```
CVE-Veröffentlichung (z.B. Log4j)
Trivy-Scan detektiert CVE (automatisch)
Alert an DevOps-Team (Slack/Email)
Developer → Update Dependency → Push
CI-Pipeline → Rebuild → Re-Scan → Re-Sign
Argo CD → Auto-Sync (Air-Gapped nach 24h Sync)
Deployed in <48h (gemessen: 36h)
```
\subsection{}Metriken & Ergebnisse**
| Metrik | Vorher | Nachher | Ziel |
|--------|--------|---------|------|
| Deployment-Zeit (Online) | 2h | 15min | ≤30min ✅ |
| Deployment-Zeit (Air-Gapped) | 1 Tag (manuell) | 30min (auto) | ≤45min ✅ |
| kritische CVEs in Production | unbekannt | 0 | 0 ✅ |
| Patch-Reaktionszeit | <7 Tage | 36h | ≤48h ✅ |
| Automatisierungsgrad | 40% | 92% | >90% ✅ |
**6.5 Lessons Learned**
- Trivy-Database muss separat gemanagt werden (Air-Gapped)
- Image-Signing fügt ~2min zu CI-Pipeline hinzu (akzeptabel)
- Documentation ist kritisch für Air-Gapped-Setup ( Runbooks schreiben!)
***