vor 2 Stunden2 h Hallo Leute,es ist bald soweit. Ab dem 25.7.2026 kann ich im IHK Online-Portal meinen Projekt-Antrag hochladen.Diesen möchte ich heute mit euch teilen und besprechen. Meine Sorge: Er wird so nicht genehmigt.Hier mein Antrag:ProjektbezeichnungEvaluation, Auswahl und Implementierung einer zukunftssicheren Firewall-Lösung zurAbsicherung der Unternehmensinfrastruktur1.2 Ausgangssituation(Ist-Analyse)Betriebliches Umfeld und ProjekthintergrundIch führe das Projekt in meinem eigenem IT-Dienstleistungsunternehmen durch.Mein Betrieb ist auf die Planung und den Betrieb sicherer hybriderServerlandschaften, DSGVO-konformen Backup-Lösungen, Managed Servicessowie Disaster-Recovery-Planung spezialisiert. Da mein Unternehmen als interner Kunde fungiert, ist eine hocheffiziente und kostensensible IT-Infrastruktur dieGrundlagen für den wirtschaftlichen Erfolg. Die fachliche Abstimmung sowiedie finale Abnahme der Projektergebnisse erfolgen durch meinen Projektbetreuer,der in diesem internen Projekt als Auftraggeber fungiert.Technische InfrastrukturDie zentrale Serverlandschaft basiert auf einer Virtualisierungsumgebungmit dem Hypervisor VMware ESXi 8, betrieben auf einem Cisco UCS Server mitIntel Xeon Prozessoren. Die Speicherung der virtuellen Maschinen (VM’s)und Unternehmensdaten erfolgt über ein separates iSCSI-Storage, welchesebenfalls auf einem dedizierten Cisco UCS Server realisiert ist.Das interne Netzwerk ist zur Absicherung und Mandantentrennung in sechs VLAN’sunterteilt:Management: Interne Administration- und Management-NetzLabor 1 & 2: Getrennte Testumgebungen für KundenprojekteDMZ: Öffentlich erreichbare DiensteServer: Internes Servernetz für zentrale DiensteWork: Arbeitsnetz für die Client-Workstations und Peripherie GeräteGuest: Für W-LAN GästeAktueller Sicherheitsstandard und IST-Zustand der FirewallZur Absicherung des Perimeter kommt derzeit eine Securepoint UTMals virtuelle Maschine zum Einsatz. Diese übernimmt die zentrale Filterungdes Datenverkehrs zwischen den VLAN’s und dem WAN. Aktiv genutzt werdendabei Funktionen wie Intrusion Detection/Prevention (IDS/IPS) sowieGeoBlocking, um unautorisierte Zugriffe aus spezifischen Regionen zu verhindern.Zur Anbindung externer Ressourcen bestehen zwei permanente Site-to-Site(S2S)VPN-Tunnel zu zwei VPC-Servern.Schwachstellen und Problemanalyse (Motivation)Die Lizenzen für die proprietäre Securepoint-Lösung laufen im Laufe diesesJahres aus. Da es sich um eine kostenpflichtige Subskription handelt,entstehen jährlich wiederkehrende Fixkosten, die die Wirtschaftlichkeit desBetriebs belasten. Zudem ist die Erweiterbarkeit der proprietären Lösung durchDrittanbieter-Plugins stark eingeschränkt, was die Flexibilität bei der Anpassung anneue Kundenanforderungen oder Sicherheitsbedarfe mindert.Ein weiterer Nachteil der aktuellen Umgebung ist die fehlende Unterstützung fürmoderne Management-Methoden wie Infrastructure as Code (IaC).Die Konfiguration der bestehenden Firewall erfolgt ausschließlich manuellüber eine proprietäre Weboberfläche, was eine automatisierte Bereitstellung undVersionierung von Regelwerken (z. B. via Terraform) unmöglich macht.In einer IT-Landschaft, die auf Skalierbarkeit und Reproduzierbarkeit angewiesenist, führt dieser rein manuelle Prozess zu einer erhöhten Fehleranfälligkeit beiÄnderungen und steht einer effizienten Standardisierung der Managed Servicesentgegen. Daraus resultiert der Bedarf nach einer Firewall-Lösung, die beimindestens gleichbleibendem Sicherheitsstandard eine API-Schnittstelle zurAutomatisierung bereitstellt und durch ein effizienteres Lizenzmodell die Total Cost of Ownership (TCO) nachhaltig senkt.2. Projektbeschreibung (Soll-Konzept)2.1 Zielsetzung – Was soll am Ende des Projektes erreicht sein?Das primäre Ziel des Projektes ist die Migration der bestehendenFirewall-Infrastruktur auf eine Lösung, die den manuellen Konfigurationsaufwanddurch einen automatisierten Ansatz ersetzt und gleichzeitig die Betriebskosten(TCO) senkt. Am Ende der 40 Stunden soll ein funktionsfähiges Systemimplementiert sein, das die Absicherung der sechs VLAN’s (Management,Labor 1 & 2, DMZ, Server, Work, Guest) sowie die Site-to-Site-VPN Anbindungenunterbrechungsfrei übernimmt.Ein wesentlicher Erfolgsparameter ist die Einführung von Infrastructure as Code(IaC): Die neue Lösung muss über eine API verfügen, die eine automatisierteBereitstellung und Versionierung von Firewall-Regeln (z. B. Via Terraform)ermöglicht, um Fehlerquellen bei manuellen Änderungen zu eliminieren.2.2 Welche Anforderungen müssen erfüllt sein?- Netzwerk & Sicherheit: Vollständige Filterung und Trennung der 6 VLAN’s sowie aktive Nutzung von IDP/IPS und GeoBlocking- VPN-Konnektivität: Stabile Migration und Validierung der zweibestehenden Site-to-Site VPN-Tunnel zu den externen VPC-Servern- Management: Bereitstellung einer API-Schnittstelle zur Unterstützungmoderner Automatisierungswerkzeugen (IaC)- Wirtschaftlichkeit: Die Lösung muss ohne jährliche Lizenzgebührenbetrieben werden können und eine nachweisbare Amortisation desProjektaufwands ermöglichen- Skalierbarkeit: Die Architektur muss so ausgelegt sein, dass zusätzlicheStandorte oder Dienste zukünftig ohne Systemwechsel integriert werdenkönnen2.3 Projektabgrenzung und Einschränkungen- Hardware: Die Bereitstellung des Cisco UCS Servers sowiedie Konfiguration des iSCSI-Storages sind nicht Bestandteildiese Projektes, da diese Resourcen bereits vorhanden sind.- Endgeräte: Die Konfiguration von Clients innerhalb der VLAN’s(z. B. Work-Net) erfolgt nicht im Rahmen dieses Projektes, sofernsie nicht die Firewall-Regelwerke betreffen- Zeitrahmen: Die Umsetzung ist strikt auf den Zeitraumvon 40 Stunden begrenzt- Organisatorische Schnittstellen: Die fachliche Abnahme des Projeteserfolgt durch den Projektbetreuer, die gesamte konzeptionelle und operativeUmsetzung ist meine Eigenleistung.3. Projektphasen mit Zeitplanung (Gesamt: 40 Stunden)Phase 1: Projektinitiierung und Analyse (5 Stunden)- Ist-Analyse: Detaillierte Aufnahme der bestehendenNetzwerkstruktur und VPN-Endpunkte – 1 Stunde- Anforderungsanalyse: Erstellung eines Lastenheftes basierend auf Sicherheitsbedarf und IaC-Anforderungen – 2 Stunden- Projektplanung: Erstellung der Ablaufplanungund Meilensteine – 2 StundenPhase 2: Evaluierung und Konzeption (9 Stunden)- Marktrecherche & Nutzwertanalyse: Gegenüberstellung vonLösungen unter Berücksichtigung von Kosten, API-Fähigkeitund Funktionsumfang – 3 Stunden- Wirtschaftlichkeitsprüfung: Durchführung einerAmortisationsrechnung (Migrationsaufwand vs. EingesparteLizenzkosten) – 2 Stunden- Technisches Soll-Konzept: Erstellung des Sicherheitskonzepts(VLAN-Trennung, VPN-Parameter) und Planung derAPI-Schnittstelle - 4 StundenPhase 3: Realisierung und Implementierung (14 Stunden)- Systembereitstellung: Installation der Firewall-Appliance in derESXi-Umgebung und Grundkonfiguration – 4 Stunden- Netzwerk- & VPN-Konfiguration: Einrichtung der 6 VLAN’s sowieMigration und Validierung der Site-to-Site VPN-Tunnel – 6 Stunden- Sicherheitsdienste: Konfiguration von IDS/IPS und GeoBlocking – 3 Stunden- Automatisierung (IaC): Bereitstellung der API-Schnittstelle und ersteAnbindung an das Management-Tool ( z. B. Terraform) – 3 StundenPhase 4: Qualitätssicherung und Abschluss ( 4 Stunden)- Funktions- & Sicherheitstest: Validierung der Regelwerke und Überprüfungder VPN-Stabilität unter Last – 2 Stunden- Soll-ist-Vergleich: Abgleich der Projektergebnisse mit den Zielenaus dem Lastenheft – 1 Stunde- Abnahme: Formale Übergabe und Projektabnahme durchden Projektbetreuer – 1 StundePhase 5: Projektdokumentation (6 Stunden)- Erstellung des praxisbezogenen Projektberichts (Vorgehensweise,Entscheidungsbegründungen, Reflexion) – 4 Stunden- Zusammenstellung der technischen Anlagenund der Kundendokumentation – 2 Stunden4. Geplante DokumentationsanlagenWirtschaftliche und konzeptionelle Unterlagen- Nutzwertanalyse: Detaillierter Vergleich der evaluierten Firewall-Lösungen- Wirtschaftlichkeitsbetrachtung: Amortisationsrechnung (Gegenüberstellungder Migrationskosten zu den eingesparten Lizenzgebühren)- Schutzbedarfsanalyse: Einstufung der 6 VLAN’s und der VPN-VerbindungenTechnische Dokumentation- Netzwerkplan: Darstellung der IST-und-SOLL-Infrastruktur inkl.der VLAN-Struktur- Konfigurationsauszüge: Dokumentation der Firewall-Regelwerke,IDS/IPS-Richtlinien und der Site-to-Site VPN-Parameter- IaC-Dokumentation: Auszüge der Terraform-Konfigurationsdateienoder API-Spezifikationen zur AutomatisierungIch freue mich über jede ehrliche Meinung und konstruktive Kritik von euch!Liebe GrüßeUeba3ba
vor 54 Minuten54 min formal sieht das ok aus, aber viiiiiiel zu lang zumindest für die andere Ecke Deutschlands
Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.