2
0
Files
bachelor/Chapters/06-PoC.tex
2026-06-30 09:49:54 +02:00

51 lines
1.8 KiB
TeX

\section{Proof of Concept} % Fallstudie (10-14 Seiten)
\subsection{Bestehendes Setup}
\todox{besserer Name}
- Bestehender Stack: 20-30 Container (Liste der Services)
- Ursprüngliche Architektur: Monolithisch oder loosen coupled?
- Migrationshürden: Stateful Services, Secrets, Network Policies
\subsection{Security-Gates}
\todox{besserer Name}
| Gate | Implementierung | Ergebnis |
|------|-----------------|----------|
| SBOM-Erstellung | Syft $\rightarrow$ SPDX JSON | 100\% der Images haben SBOM |
| Image-Signing | Cosign $\rightarrow$ Sigstore | 100\% signiert |
| Vulnerability Scan | Trivy $\rightarrow$ SARIF | 0 critical CVEs in Production |
| Policy Enforcement | OPA Gatekeeper | Blockiert unsigned Images |
\subsection{Automatisierte Patch-Pipeline}
```
CVE-Veröffentlichung (z.B. Log4j)
Trivy-Scan detektiert CVE (automatisch)
Alert an DevOps-Team (Slack/Email)
Developer $\rightarrow$ Update Dependency $\rightarrow$ Push
CI-Pipeline $\rightarrow$ Rebuild $\rightarrow$ Re-Scan $\rightarrow$ Re-Sign
Argo CD $\rightarrow$ Auto-Sync (Air-Gapped nach 24h Sync)
Deployed in <48h (gemessen: 36h)
```
\subsection{}Metriken \& Ergebnisse**
| Metrik | Vorher | Nachher | Ziel |
|--------|--------|---------|------|
| Deployment-Zeit (Online) | 2h | 15min | kleiner gleich30min n |
| Deployment-Zeit (Air-Gapped) | 1 Tag (manuell) | 30min (auto) | kleiner gleich45min n |
| kritische CVEs in Production | unbekannt | 0 | 0 n |
| Patch-Reaktionszeit | <7 Tage | 36h | kleiner gleich48h n |
| Automatisierungsgrad | 40% | 92% | >90% n |
**6.5 Lessons Learned**
- Trivy-Database muss separat gemanagt werden (Air-Gapped)
- Image-Signing fügt ~2min zu CI-Pipeline hinzu (akzeptabel)
- Documentation ist kritisch für Air-Gapped-Setup ( Runbooks schreiben!)
***