Projektantrag: Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes

[Whitehammer03]

Hallo zusammen,

 

mein Antrag ist nun (mMn) fertig, Abgabe ist am Montag. Vorher würde ich gerne noch eure Meinung hören wollen

Vielen Dank im voraus

 

1.           Projektbezeichnung

 

Erstellung eines Proof of Concept für die Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes der technischen Mitarbeiter auf ein Labornetzwerk.

1.1              Kurze Projektbeschreibung*

Die Firma X (nachfolgend X genannt) ist ein IT-Dienstleister mit Sitz in Mustertstadt. Die Schwesterfirma Y (nachfolgend Y genannt) löst ihre Büroräume auf und soll im August in die Geschäftsstelle der X in Musterdorf  einziehen. Im Büro in Musterdorf haben die technischen Mitarbeiter eine eigene Laborumgebung, welches komplett abgeschottet von dem produktiven Firmennetzwerk läuft. Hier können z.B. die Auszubildenden die Aufgabenstellungen des Ausbildungsbetriebes umsetzen, ohne dabei das Produktivnetz in Gefahr bringen zu können. Die Mitarbeiter der Y werden betriebsbedingt ebenfalls Zugriff auf die Laborumgebung haben, da hier Testserver von der Y zum Einsatz kommen sollen. Derzeit existiert ein Remote-Zugriff auf dieses Labor, welcher nur durch einen rudimentären Login anhand lokaler Benutzerdaten gesichert ist. Dies stellt ein sicherheitsrelevantes Risiko dar, welches der Administrator der Firma X in Musterdorf behoben haben möchte. Er wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung um den Fernzugriff auf das Labornetzwerk sicherer gestalten und Zugriffe protokollieren zu können. Meine Aufgabe wird es sein, ein Proof of Concept ( nachfolgend PoC genannt) durchzuführen, um die Machbarkeit einer Multi-Faktor Authentifizierung im Zusammenhang mit dem bestehenden VPN prüfen zu können.

Dieses firmeninterne Projekt soll als PoC im Rahmen meiner Projektarbeit durchgeführt werden.

 

2.                   Projektumfeld*

a)

Die Erstellung des PoC ist für mich ein Gesamtprojekt. Für X ist es ein Teil-Projekt für die vollständige Implementierung einer vollumfassenden Lösung. Organisatorische Schnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

b)

Im Rahmen des Projekts werden voraussichtlich keine Fremdleistungen bezogen. Sollte sich im Laufe des Projekts die Notwendigkeit einer Fremdleistung ergeben, wird diese ausführlich in der Dokumentation behandelt.

c)

Umgesetzt wird das PoC in einer Labor-Umgebung in der Musterdorfer Niederlassung der X. Für diesen Zweck wird ein funktionales privates lokales Netzwerk aufgebaut, bestehend aus einem Switch, einer Firewall, einem Gateway und einem Client.

 

 

 

3.                   Projetkplanung einschließlich Zeitplanung*

Analysephase

In der Analysephase findet ein Gespräch zwischen mir und dem Kunden statt, in dem die Anforderungen und Rahmenbedingungen geklärt werden, wie zum Beispiel unter anderem die beim Kunden verwendete Hardware und Software sowie Präferenzen für eine bestimmte Lösung beziehungsweise einen bestimmten Hersteller. Kommunikationsschnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

 

Konzeptionsphase

Nach Klärung der Rahmenbedingungen beginnt die Planungsphase. In Rahmen dieser Phase werde ich prüfen, ob mir alle benötigten Arbeitsmaterialien zur Verfügung stehen. Die Beseitigung eventuell auftretender Hindernisse werde ich mit meinem Ansprechpartner AUSBILDER klären. Außerdem werde ich mich für ein Vorgehensmodell entscheiden und Arbeitspakete definieren. Für eine zielführende Zeitplanung werde ich Meilensteine setzen

 

Realisierungsphase

In der Realisierungsphase findet die technische Umsetzung des PoC statt. Gleichzeitig wird auf einen fortlaufenden Statusabgleich mit meinem Ansprechpartner AUSBILDER geachtet. Die durchgeführten Schritte werden detailliert und nachvollziehbar dokumentiert

 

Validierungsphase

Das PoC wird getestet, um den Ansprüchen des Kunden gerecht zu werden. Für die Tests dienen, im Vorfeld definierte Testszenarien sowie vorab festgelegte Messkriterien im Bezug auf die zu erwartenden Ergebnisse, welche sowohl dem Endkunden, als auch mir als Projektverantwortlichen eindeutig Transparenz über den funktionalen Erfolg der Lösung geben sollen.

 

Dokumentationsphase

Aufbau, Funktion, Administration, getroffene Entscheidungen und Zugangsdaten werden in einer Projektdokumentation zusammengefasst und dem Kunden übergeben

Da das Projekt voraussichtlich ohne Fremdleistungen auskommen wird, sind alle Phasen prüfungsrelevant.

Eine Zuordnung des Zeitaufwands zu den einzelnen Phasen lässt sich aus der Tabelle im Anhang entnehmen

4.                   Durchführungszeitraum*

04.Oktober – 25.Oktober

 

Analysephase 2 Std

Konzeptionsphase 7 Std

Realisierungsphase 12 Std

Validierungsphase 3 Std

Dokumentationsphase 9 Std

Puffer2 Std

 

 

Was vielleicht nur gut zu wissen ist: Meine IHK fordert keine detaillierte gliderung der phasen in einzelne Teilphasen/-schritte. Es reicht also wenn ich sage, für welche große Phase ich wie viele Stunden geplant habe. Und ein Puffer soll gern gesehen sein bei meiner IHK, habe ich mir sagen lassen 

Bearbeitet 5. August 2021 von Whitehammer03

[ickevondepinguin]

vor 15 Minuten schrieb Whitehammer03:

cloudbasierten Multifaktor-Authentifizierungslösung

Datenschutz? Hierzu kann @charmanta mehr sagen.

vor 15 Minuten schrieb Whitehammer03:

Switch, einer Firewall, einem Gateway und einem Client.

Passiert hier eine Auswahl anhand Kriterien? Fallen die Sachen vom Himmel oder sind diese schon da? 😉

vor 15 Minuten schrieb Whitehammer03:

Außerdem werde ich mich für ein Vorgehensmodell entscheiden

Entscheiden woran? Definieter Kriterien aus der Analysephase oder Vorgaben von "oben" ?
Vielleicht schilderst Du uns noch einmal kurz, welche Entscheidungen von Dir konkret getroffen werden und prüfst vor deinem geistigen Auge einmal, welche Alternativen es gibt.

Ansonsten klingt es spannend - nur der Datenschutz würde mir persönlich Bauchschmerzen bereiten. Außer Du bist fit in dem Thema.

vor 15 Minuten schrieb Whitehammer03:

Analysephase 2 Std

Konzeptionsphase 7 Std

Realisierungsphase 12 Std

Validierungsphase 3 Std

Dokumentationsphase 9 Std

Puffer2 Std

2 Stnden Puffer finde ich jedoch viel für 35 Stunden gesamt. Mach die Analysephase länger und den Puffer etwas kleiner, würde ich sagen.

 

Insgesamt, so mein Eindruck, ist das hier aber schon Meckern auf sehr hohem Niveau! 😉

Bearbeitet 5. August 2021 von ickevondepinguin

[charmanta]

vor 20 Minuten schrieb Whitehammer03:

wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung

... wieso denn überhaupt mit Cloud ?

Such doch eine Lösung zur Absicherung des Zugriffs und beleuchte auch die Cloud.

vor 6 Minuten schrieb ickevondepinguin:

Datenschutz? Hierzu kann @charmanta mehr sagen.

Viel Schlimmer. Der freut sich auf ein Fachgespräch *Messerwetz*

Ernsthaft, Cloud sollte da wohl immer eine der ferneren Lösungen sein. Wenn der Kunde das so will ists Dein Job ihm Vor- und Nachteile darzulegen, dies alles in Beachtung der DSGVO. Genau das wäre dann mein Ansatz bei Dir im FG ...

[Whitehammer03]

Vielen Dank @ickevondepinguin und @charmanta erstmal für eure Meinungen  

 

Die genannten Netzwerkgeräte sind schon da , dachte das wäre ersichtlich, da das ganze ja in einer Laborumgebung getestet werden soll. Aber wenn ihr meint, ich solle das nochmal verdeutlichen, kann ich das gerne machen.

 

Bei dem Vorgehensmodell sieht es so aus, eigentlich weiß ich schon, welches ich nutzen werde, nämlich das (erweiterte) Wasserfallmodell. Unsere BS-Lehrer haben uns dringend geraten, dieses zu nutzen, alles andere könnte leicht nach hinten losgehen sagten sie. 

 

Im Prinzip dachte ich mir, ich kann folgende Entscheidungen in diesem Projekt treffen:

 

Welche Cloud (Azure, AWS, etc.)?

Welches Produkt ( Microsoft MFA, Cisco DUO, etc.)?

Welche zusätzlichen Faktoren (bzw. welche sind die sichersten und passendsten)?

 

 

Zur Frage warum unbedingt Cloud: 1. Vorgabe von oben, wir hätten gerne eine Cloudlösung.

2. Setzen auch immer mehr Kunden auf Cloudlösungen bei uns und es gibt auch immer mehr Kunden, die genau dieses Thema bei uns angefragt haben. Ich denke man möchte durch mein Projekt auch sehen, ob man sowas nicht auch bei diesen Kunden implementieren könnte. Die Cloud ist bei uns in der Firma aber auch bei Kunden längst beliebt und in Nutzung.

Bearbeitet 5. August 2021 von Whitehammer03

[charmanta]

vor 5 Minuten schrieb Whitehammer03:

Welche Cloud (Azure, AWS, etc.)?

Welches Produkt ( Microsoft MFA, Cisco DUO, etc.)?

... das sind alles US DIenstleister. Ich hoffe, Du bist Dir über die Auswirkungen klar ???

[Whitehammer03]

Gerade eben schrieb charmanta:

... das sind alles US DIenstleister. Ich hoffe, Du bist Dir über die Auswirkungen klar ???

Ich denke dich stört der Datenschutzaspekt, oder ?  Ich weiß zwar, dass es zu 90% auf Azure hinauslaufen wird ( da unsere restliche Cloud Infrastruktur inkl AD etc. auch auf Azure laufen, aber: Kann man in der Cloud nicht auswählen, dass die benutze Infrastruktur ausschließlich in DE oder zumindest EU liegen soll? Zumindest habe ich das bei einer Azure Schulung gelernt am Anfang des Jahres.

[charmanta]

der Dienstleister bleibt ein US DIenstleister. Im Moment gibt es nur sehr komplexe Methoden, sowas legal zu betreiben. Es würde mich fast wundern, wenn Dein Arbeitgeber eine von denen betreibt

Schau mal nach dem "Privacy Shield" Abkommen und der Rechtslücke seit dessen Tod

[Whitehammer03]

Okey, komisch, wir und ein Großteil unserer Kunden nutzt bereits vollumfängliche Cloudlösungen.

 

Aber der "einzige" Teil, der in diesem Projekt in der Cloud laufen soll, ist ja eine Test-AD mit Testusern und z.B Microsoft MFA , welches dann mit dem AD verknüpft werden soll..kann man da trotzdem von einem großen Datenschutzproblem sprechen, auch wenn alles nur Test-Daten sind, die im Zuge des PoC generiert werden?

[ickevondepinguin]

vor 4 Minuten schrieb Whitehammer03:

kann man da trotzdem von einem großen Datenschutzproblem sprechen, auch wenn alles nur Test-Daten sind, die im Zuge des PoC generiert werden?

Ja, weil das PoC ggf. ja dann auch bei Euch oder beim Kunden eingesetzt werden soll, alá: "Ich hab da mal was vorbereitet...." 😉

Und dazu gehört eben genau diese "Beratungsleistung", die charmanta auch beschrieben hatte. Letztendlich empfiehlst Du da eine "Musterlösung" für Euch und ggf. eure Kunden. Und Diese muss rechtssicher betrieben werden können.

[Whitehammer03]

vor 16 Minuten schrieb ickevondepinguin:

Ja, weil das PoC ggf. ja dann auch bei Euch oder beim Kunden eingesetzt werden soll, alá: "Ich hab da mal was vorbereitet...." 😉

Und dazu gehört eben genau diese "Beratungsleistung", die charmanta auch beschrieben hatte. Letztendlich empfiehlst Du da eine "Musterlösung" für Euch und ggf. eure Kunden. Und Diese muss rechtssicher betrieben werden können.

Ah, okey. Klingt logisch. Wie wäre es dann, wenn ich im Antrag speziell erwähne, dass ich mit dem PoC nur die TECHNISCHE Machbarkeit prüfen möchte? Ich denke nämlich nicht, dass sich so schnell ein neues Thema finden lassen wird und bei diesem Thema will mein AG unbedingt auf die Cloud setze. Mir sind quasi die Hände gebunden. Ich würde mich sicherheitshalber auf Fragen in Richtung Cloud-Datenschutz vorbereiten bis zum Fachgespräch

 

[charmanta]

Hey ich bin Arzt und kann kein Blut sehen. Bitte lasst mich nur reden, aber schneiden tun bitte andere Leute

vor 26 Minuten schrieb Whitehammer03:

Wie wäre es dann, wenn ich im Antrag speziell erwähne, dass ich mit dem PoC nur die TECHNISCHE Machbarkeit prüfen möchte?

Mit dem Prüfungsteil zeigst Du Deine Praxisreife. Vollumfänglich. Klar kannste das erwähnen, aber das rettet Dich nicht vor dem Fachgespräch. Außerdem gehört das so oder so auch in der Arbeit in die "thematische Durchdringung"

[Whitehammer03]

Was würdet ihr mir nun raten in dem Fall? 😕 Bei dem Thema komme ich nicht um die Cloud drumrum( da Vorgabe ) und ein neues Thema so auf die Schnelle finden wird wahrscheinlich auch nicht klappen.. 😕

 

[charmanta]

Stell Dich der Herausforderung ? Wenn Du das eh schon den ganzen Tag über machst dann solltest Du den rechtlichen Teil auch mal gehört haben

Den findest Du übrigens auch hier im angebotenen Datenschutzkurz für Azubis...

[Whitehammer03]

Gut, dann werde ich mich der Herausforderung stellen!  💪

Ich hoffe die Prüfer werden nicht all zu streng mit mir sein... aber wird schon.. irgendwie 😄

 

Was haltet ihr davon, meine Sätze unter den Punkten 1-4 in der Ich-Form zu schreiben? Ich habe gemerkt, dass ich da dann doch zu oft allgemein gesprochen habe z.B.  Das PoC wird getestet,.. oder  werden in einer Projektdokumentation zusammengefasst und dem Kunden übergeben

 

stattdessen wäre mein Vorschlag: Das PoC werde ich testen, um... / werde ich in einer Projektdokumentation zusammenfassen und dem Kunden übergeben usw usf... wäre besser denke ich,oder?  Und den Puffer werde ich noch auf 1 Std verkürzen.

[ickevondepinguin]

vor 15 Minuten schrieb Whitehammer03:

stattdessen wäre mein Vorschlag

Puffer: Ja! Gerne.

Rest: Kann man so oder so machen - wie es dir beliebt. 🙂
Beides ist in Ordnung.

[KeeperOfCoffee]

Wie wäre es mit einem europäischen Cloudanbietern? OVH zum Bleistift.

Bearbeitet 5. August 2021 von KeeperOfCoffee

[Whitehammer03]

vor 56 Minuten schrieb KeeperOfCoffee:

Wie wäre es mit einem europäischen Cloudanbietern? OVH zum Bleistift.

Da bin ich mir aber nicht sicher, ob das so ohne weiteres möglich ist und wenn ja, WIE es möglich ist. Da unsere AD etc ja auch über Azure läuft wäre es zudem wahrscheinlich sinnvoller, in einem PoC auch die selbe Umgebung nachzustellen.

[Whitehammer03]

Hier nun meine finale Version  

 

1.           Projektbezeichnung

 

Erstellung eines Proof of Concept für die Implementierung einer cloudbasierten Multifaktor-Authentifizierungslösung zur Sicherung eines bereits bestehenden Fernzugriffes der technischen Mitarbeiter auf ein Labornetzwerk.

1.1              Kurze Projektbeschreibung*

Die XXXX (nachfolgend X genannt) ist ein IT-Dienstleister mit Sitz in XXXX. Die Schwesterfirma YYY   (nachfolgend Y genannt) löst ihre Büroräume auf und soll im August in die Geschäftsstelle der X in MUSTERDORF einziehen. Im Büro in MUSTERDORF haben die technischen Mitarbeiter eine eigene Laborumgebung, welches komplett abgeschottet von dem produktiven Firmennetzwerk läuft. Hier können die Auszubildenden die Aufgabenstellungen des Ausbildungsbetriebes umsetzen, ohne dabei das Produktivnetz in Gefahr bringen zu können. Die Mitarbeiter der Y werden betriebsbedingt ebenfalls Zugriff auf die Laborumgebung haben, da hier Testserver von der Y zum Einsatz kommen sollen. Derzeit existiert ein Remote-Zugriff auf dieses Labor, welcher nur durch einen rudimentären Login anhand lokaler Benutzerdaten gesichert ist. Dies stellt ein sicherheitsrelevantes Risiko dar, welches der Administrator der Firma X in MUSTERDORF behoben haben möchte. Er wünscht sich eine cloudbasierte Multifaktor-Authentifizierungslösung um den Fernzugriff auf das Labornetzwerk sicherer gestalten und Zugriffe protokollieren zu können. Meine Aufgabe wird es sein, ein Proof of Concept ( nachfolgend PoC genannt) durchzuführen, um die Machbarkeit einer Multi-Faktor Authentifizierung im Zusammenhang mit dem bestehenden Remote Access SSLVPN prüfen zu können.

Dieses firmeninterne Projekt soll als PoC im Rahmen meiner Projektarbeit durchgeführt werden.

 

2.                   Projektumfeld*

a)

Die Erstellung des PoC ist für mich ein Gesamtprojekt. Für X ist es ein Teil-Projekt für die vollständige Implementierung einer vollumfassenden Lösung. Organisatorische Schnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

b)

Im Rahmen des Projekts werden voraussichtlich keine Fremdleistungen bezogen. Sollte sich im Laufe des Projekts die Notwendigkeit einer Fremdleistung ergeben, werde ich diese ausführlich in der Dokumentation behandeln.

c)

Umgesetzt wird das PoC in einer Labor-Umgebung in der MUSTERDORFER Niederlassung der X. Für diesen Zweck werde ich ein funktionales privates lokales Netzwerk aufbauen, bestehend aus einem Switch, einer Firewall, einem Gateway und einem Client.

 

 

 

3.                   Projetkplanung einschließlich Zeitplanung*

Analysephase

In der Analysephase findet ein Gespräch zwischen mir und dem Kunden statt, in dem die Anforderungen und Rahmenbedingungen geklärt werden, wie zum Beispiel unter anderem die beim Kunden verwendete Hardware und Software sowie Präferenzen für eine bestimmte Lösung beziehungsweise einen bestimmten Hersteller. Kommunikationsschnittstelle zwischen meinem Projekt und dem Gesamtprojekt ist AUSBILDER

 

Konzeptionsphase

Nach Klärung der Rahmenbedingungen beginnt die Planungsphase. In Rahmen dieser Phase werde ich prüfen, ob mir alle benötigten Arbeitsmaterialien zur Verfügung stehen. Die Beseitigung eventuell auftretender Hindernisse werde ich mit meinem Ansprechpartner AUSBILDER klären. Außerdem werde ich mich für ein Vorgehensmodell entscheiden und Arbeitspakete definieren. Für eine zielführende Zeitplanung werde ich Meilensteine setzen

 

Realisierungsphase

In der Realisierungsphase findet die technische Umsetzung des PoC statt. Gleichzeitig werde ich auf einen fortlaufenden Statusabgleich mit meinem Ansprechpartner AUSBILDER achten. Die durchgeführten Schritte werde ich detailliert und nachvollziehbar dokumentieren.

 

Validierungsphase

Das PoC werde ich testen, um den Ansprüchen des Kunden gerecht zu werden. Für die Tests dienen, im Vorfeld definierte Testszenarien sowie vorab festgelegte Messkriterien im Bezug auf die zu erwartenden Ergebnisse, welche sowohl dem Endkunden, als auch mir als Projektverantwortlichen eindeutig Transparenz über den funktionalen Erfolg der Lösung geben sollen.

 

Dokumentationsphase

Aufbau, Funktion, Administration, getroffene Entscheidungen und Zugangsdaten werde ich in einer Projektdokumentation zusammenfassen und dem Kunden übergeben.

Da das Projekt voraussichtlich ohne Fremdleistungen auskommen wird, sind alle Phasen prüfungsrelevant.

Eine Zuordnung des Zeitaufwands zu den einzelnen Phasen lässt sich aus der Tabelle im Anhang entnehmen

4.                   Durchführungszeitraum*

04.Oktober – 25.Oktober

 

Analysephase 3 Std

Konzeptionsphase 7 Std

Realisierungsphase 12 Std

Validierungsphase 3 Std

Dokumentationsphase 9 Std

Puffer 1 Std

Bearbeitet 6. August 2021 von Whitehammer03

[Whitehammer03]

Völlig vergessen: 

 

Der Antrag wurde genehmigt und für die Projektarbeit habe ich 88% bekommen.