7. Juli7. Jul Hallo Leute,es ist bald soweit. Ab dem 25.7.2026 kann ich im IHK Online-Portal meinen Projekt-Antrag hochladen.Diesen möchte ich heute mit euch teilen und besprechen.Meine Sorge: Er wird so nicht genehmigt.Hier mein Antrag:ProjektbezeichnungEvaluation, Auswahl und Implementierung einer zukunftssicheren Firewall-Lösung zurAbsicherung der Unternehmensinfrastruktur1.2 Ausgangssituation(Ist-Analyse)Betriebliches Umfeld und ProjekthintergrundIch führe das Projekt in meinem eigenem IT-Dienstleistungsunternehmen durch.Mein Betrieb ist auf die Planung und den Betrieb sicherer hybriderServerlandschaften, DSGVO-konformen Backup-Lösungen, Managed Servicessowie Disaster-Recovery-Planung spezialisiert. Da mein Unternehmen als interner Kunde fungiert, ist eine hocheffiziente und kostensensible IT-Infrastruktur dieGrundlagen für den wirtschaftlichen Erfolg. Die fachliche Abstimmung sowiedie finale Abnahme der Projektergebnisse erfolgen durch meinen Projektbetreuer,der in diesem internen Projekt als Auftraggeber fungiert.Technische InfrastrukturDie zentrale Serverlandschaft basiert auf einer Virtualisierungsumgebungmit dem Hypervisor VMware ESXi 8, betrieben auf einem Cisco UCS Server mitIntel Xeon Prozessoren. Die Speicherung der virtuellen Maschinen (VM’s)und Unternehmensdaten erfolgt über ein separates iSCSI-Storage, welchesebenfalls auf einem dedizierten Cisco UCS Server realisiert ist.Das interne Netzwerk ist zur Absicherung und Mandantentrennung in sechs VLAN’sunterteilt:Management: Interne Administration- und Management-NetzLabor 1 & 2: Getrennte Testumgebungen für KundenprojekteDMZ: Öffentlich erreichbare DiensteServer: Internes Servernetz für zentrale DiensteWork: Arbeitsnetz für die Client-Workstations und Peripherie GeräteGuest: Für W-LAN GästeAktueller Sicherheitsstandard und IST-Zustand der FirewallZur Absicherung des Perimeter kommt derzeit eine Securepoint UTMals virtuelle Maschine zum Einsatz. Diese übernimmt die zentrale Filterungdes Datenverkehrs zwischen den VLAN’s und dem WAN. Aktiv genutzt werdendabei Funktionen wie Intrusion Detection/Prevention (IDS/IPS) sowieGeoBlocking, um unautorisierte Zugriffe aus spezifischen Regionen zu verhindern.Zur Anbindung externer Ressourcen bestehen zwei permanente Site-to-Site(S2S)VPN-Tunnel zu zwei VPC-Servern.Schwachstellen und Problemanalyse (Motivation)Die Lizenzen für die proprietäre Securepoint-Lösung laufen im Laufe diesesJahres aus. Da es sich um eine kostenpflichtige Subskription handelt,entstehen jährlich wiederkehrende Fixkosten, die die Wirtschaftlichkeit desBetriebs belasten. Zudem ist die Erweiterbarkeit der proprietären Lösung durchDrittanbieter-Plugins stark eingeschränkt, was die Flexibilität bei der Anpassung anneue Kundenanforderungen oder Sicherheitsbedarfe mindert.Ein weiterer Nachteil der aktuellen Umgebung ist die fehlende Unterstützung fürmoderne Management-Methoden wie Infrastructure as Code (IaC).Die Konfiguration der bestehenden Firewall erfolgt ausschließlich manuellüber eine proprietäre Weboberfläche, was eine automatisierte Bereitstellung undVersionierung von Regelwerken (z. B. via Terraform) unmöglich macht.In einer IT-Landschaft, die auf Skalierbarkeit und Reproduzierbarkeit angewiesenist, führt dieser rein manuelle Prozess zu einer erhöhten Fehleranfälligkeit beiÄnderungen und steht einer effizienten Standardisierung der Managed Servicesentgegen. Daraus resultiert der Bedarf nach einer Firewall-Lösung, die beimindestens gleichbleibendem Sicherheitsstandard eine API-Schnittstelle zurAutomatisierung bereitstellt und durch ein effizienteres Lizenzmodell die Total Cost of Ownership (TCO) nachhaltig senkt.2. Projektbeschreibung (Soll-Konzept)2.1 Zielsetzung – Was soll am Ende des Projektes erreicht sein?Das primäre Ziel des Projektes ist die Migration der bestehendenFirewall-Infrastruktur auf eine Lösung, die den manuellen Konfigurationsaufwanddurch einen automatisierten Ansatz ersetzt und gleichzeitig die Betriebskosten(TCO) senkt. Am Ende der 40 Stunden soll ein funktionsfähiges Systemimplementiert sein, das die Absicherung der sechs VLAN’s (Management,Labor 1 & 2, DMZ, Server, Work, Guest) sowie die Site-to-Site-VPN Anbindungenunterbrechungsfrei übernimmt.Ein wesentlicher Erfolgsparameter ist die Einführung von Infrastructure as Code(IaC): Die neue Lösung muss über eine API verfügen, die eine automatisierteBereitstellung und Versionierung von Firewall-Regeln (z. B. Via Terraform)ermöglicht, um Fehlerquellen bei manuellen Änderungen zu eliminieren.2.2 Welche Anforderungen müssen erfüllt sein?- Netzwerk & Sicherheit: Vollständige Filterung und Trennung der 6 VLAN’s sowie aktive Nutzung von IDP/IPS und GeoBlocking- VPN-Konnektivität: Stabile Migration und Validierung der zweibestehenden Site-to-Site VPN-Tunnel zu den externen VPC-Servern- Management: Bereitstellung einer API-Schnittstelle zur Unterstützungmoderner Automatisierungswerkzeugen (IaC)- Wirtschaftlichkeit: Die Lösung muss ohne jährliche Lizenzgebührenbetrieben werden können und eine nachweisbare Amortisation desProjektaufwands ermöglichen- Skalierbarkeit: Die Architektur muss so ausgelegt sein, dass zusätzlicheStandorte oder Dienste zukünftig ohne Systemwechsel integriert werdenkönnen2.3 Projektabgrenzung und Einschränkungen- Hardware: Die Bereitstellung des Cisco UCS Servers sowiedie Konfiguration des iSCSI-Storages sind nicht Bestandteildiese Projektes, da diese Resourcen bereits vorhanden sind.- Endgeräte: Die Konfiguration von Clients innerhalb der VLAN’s(z. B. Work-Net) erfolgt nicht im Rahmen dieses Projektes, sofernsie nicht die Firewall-Regelwerke betreffen- Zeitrahmen: Die Umsetzung ist strikt auf den Zeitraumvon 40 Stunden begrenzt- Organisatorische Schnittstellen: Die fachliche Abnahme des Projeteserfolgt durch den Projektbetreuer, die gesamte konzeptionelle und operativeUmsetzung ist meine Eigenleistung.3. Projektphasen mit Zeitplanung (Gesamt: 40 Stunden)Phase 1: Projektinitiierung und Analyse (5 Stunden)- Ist-Analyse: Detaillierte Aufnahme der bestehendenNetzwerkstruktur und VPN-Endpunkte – 1 Stunde- Anforderungsanalyse: Erstellung eines Lastenheftes basierend auf Sicherheitsbedarf und IaC-Anforderungen – 2 Stunden- Projektplanung: Erstellung der Ablaufplanungund Meilensteine – 2 StundenPhase 2: Evaluierung und Konzeption (9 Stunden)- Marktrecherche & Nutzwertanalyse: Gegenüberstellung vonLösungen unter Berücksichtigung von Kosten, API-Fähigkeitund Funktionsumfang – 3 Stunden- Wirtschaftlichkeitsprüfung: Durchführung einerAmortisationsrechnung (Migrationsaufwand vs. EingesparteLizenzkosten) – 2 Stunden- Technisches Soll-Konzept: Erstellung des Sicherheitskonzepts(VLAN-Trennung, VPN-Parameter) und Planung derAPI-Schnittstelle - 4 StundenPhase 3: Realisierung und Implementierung (14 Stunden)- Systembereitstellung: Installation der Firewall-Appliance in derESXi-Umgebung und Grundkonfiguration – 4 Stunden- Netzwerk- & VPN-Konfiguration: Einrichtung der 6 VLAN’s sowieMigration und Validierung der Site-to-Site VPN-Tunnel – 6 Stunden- Sicherheitsdienste: Konfiguration von IDS/IPS und GeoBlocking – 3 Stunden- Automatisierung (IaC): Bereitstellung der API-Schnittstelle und ersteAnbindung an das Management-Tool ( z. B. Terraform) – 3 StundenPhase 4: Qualitätssicherung und Abschluss ( 4 Stunden)- Funktions- & Sicherheitstest: Validierung der Regelwerke und Überprüfungder VPN-Stabilität unter Last – 2 Stunden- Soll-ist-Vergleich: Abgleich der Projektergebnisse mit den Zielenaus dem Lastenheft – 1 Stunde- Abnahme: Formale Übergabe und Projektabnahme durchden Projektbetreuer – 1 StundePhase 5: Projektdokumentation (6 Stunden)- Erstellung des praxisbezogenen Projektberichts (Vorgehensweise,Entscheidungsbegründungen, Reflexion) – 4 Stunden- Zusammenstellung der technischen Anlagenund der Kundendokumentation – 2 Stunden4. Geplante DokumentationsanlagenWirtschaftliche und konzeptionelle Unterlagen- Nutzwertanalyse: Detaillierter Vergleich der evaluierten Firewall-Lösungen- Wirtschaftlichkeitsbetrachtung: Amortisationsrechnung (Gegenüberstellungder Migrationskosten zu den eingesparten Lizenzgebühren)- Schutzbedarfsanalyse: Einstufung der 6 VLAN’s und der VPN-VerbindungenTechnische Dokumentation- Netzwerkplan: Darstellung der IST-und-SOLL-Infrastruktur inkl.der VLAN-Struktur- Konfigurationsauszüge: Dokumentation der Firewall-Regelwerke,IDS/IPS-Richtlinien und der Site-to-Site VPN-Parameter- IaC-Dokumentation: Auszüge der Terraform-Konfigurationsdateienoder API-Spezifikationen zur AutomatisierungIch freue mich über jede ehrliche Meinung und konstruktive Kritik von euch!Liebe GrüßeUeba3ba Bearbeitet 7. Juli7. Jul von mapr
7. Juli7. Jul formal sieht das ok aus, aber viiiiiiel zu lang zumindest für die andere Ecke Deutschlands
7. Juli7. Jul Autor Danke an euch für eure Beiträge.Das habe ich mir schon fast gedacht. Dann mach ich mich mal an das Kürzen und berichte.LGUeba3ba
Mittwoch um 09:045 Tage Prinzipiell würde ich sagen, die Idee ist gut, aber der es gibt da noch optimierungsbedarf.Ganz oben würde ich die Textformatierung haben, denn es ist schwer den hier zu lesen.vor 58 Minuten, Ueba3ba hat gesagt:Die zentrale Serverlandschaft basiert auf einer Virtualisierungsumgebungmit dem Hypervisor VMware ESXi 8, betrieben auf einem Cisco UCS Server mitIntel Xeon Prozessoren.Als Beispiel für eine von mehreren Stellen, zu viele Details für den Antrag. Du kannst auch sagen "Die Serverlandschaft ist virtualisiert, mit VMware als Hypervisor." Dein Fokus ist die Firewall.
vor 4 Stunden4 h Autor Guten Abend.Ich bin nun endlich mit der Kürzung meines Projektantrags fertig geworden.Den gekürzten Antrag möchte ich euch natürlich nicht vorenthalten.Hier ist er:1. ProjektbezeichnungEvaluation und Migration auf eine API-basierte Firewall-Lösung zurAutomatisierung und TCO-Optimierung1.2 AusgangssituationIch führe das Projekt in meinem eigenem IT-Dienstleistungsunternehmen mit Fokusauf Managed-Services durch. Da das Unternehmen als interner Kunde fungiert,ist eine hocheffiziente und kostensensible IT-Infrastruktur essentiell. Die Abnahmeerfolgt durch meinen Projektbetreuer.1.3 Technische Infrastruktur & Ist-ZustandDie Infrastruktur basiert auf einer VMware ESXi 8 Virtualisierungsumgebungauf Cisco UCS Hardware. Das Netzwerk ist zur Mandantentrennung in sechs VLANsunterteilt (u. a. Management, DMZ, Server, Labor). Als zentrale Firewall dient aktuell eine virtualisierte Securepoint UTM, die den Datenverkehr filtert und Funktionen wie IDS/IPS sowie GeoBlocking bereitstellt. Zur Anbindung externer Ressourcen werden zwei permanente Site-to-Site VPN-Tunnel zu externen VPC- Servern genutzt.1.4 Schwachstellen und ProblemanalyseDie auslaufenden Lizenzen der proprietären Firewall verursachen hohe jährliche Fixkosten,welche die Wirtschaftlichkeit belasten. Zudem verhindert die fehlende API-Schnittstelledie Nutzung moderner Management-Methoden wie Infrastructure as Code (IaC).Die rein manuelle Konfiguration über eine Weboberfläche ist zeitaufwendig, fehleranfälligund steht der effizienten Standardisierung der Managed-Services entgegen. Es besteht daherdringender Bedarf an einer Lösung, die durch Automatisierung und ein optimiertes Lizenzmodell die Total Cost of Ownership (TCO) nachhaltig senkt.2. Projektbeschreibung2.1 ZielsetzungZiel des Projekts ist die Migration auf eine Firewall-Lösung, die den manuellenKonfigurationsaufwand durch Automatisierung ersetzt und die Betriebskostennachhaltig senkt. Nach Abschluss der 40 Stunden soll ein funktionsfähiges Systemdie Absicherung der sechs VLANs sowie der Site-to-Site-VPN-Anbindungenunterbrechungsfrei übernehmen. Ein wesentlicher Erfolgsparameter ist dieEinführung von Infrastructure as Code (IaC). Die neue Lösung muss über eineAPI verfügen, welche die automatisierte Bereitstellung und Versionierung vonFirewall-Regeln ermöglicht.2.2 AnforderungenNetzwerk & Sicherheit: Migration des Regelwerkes und der 6 VLANs inkl. IDS/IPS und GeoBlockingKonnektivität: Stabile Übernahme der zwei bestehenden Site-to-Site VPN-TunnelAutomatisierung: Bereitstellung einer API zur Unterstützung von IaC- WerkzeugenWirtschaftlichkeit: Wegfall jährlicher Lizenzgebühren und Nachweis der AmortisationSkalierbarkeit: Architektur für die zukünftige Integration weitere Dienste ohne Systemwechsel2.3 Projektabegrenzung und EinschränkungenHardware & Endgeräte: Die vorhandene Server- und Storage- Infrastruktur sowie die Konfiguration von Clients sind nicht Projektbestandteil.Zeitrahmen: Die Umsetzung ist strikt auf den Zeitraum von 40 Stunden begrenztEigenleistung: Die fachliche Abnahme erfolgt durch den Projektbetreuer; die gesamte konzeptionelle und operative Umsetzung ist eine reine Eigenleistung3. Projektphasen mit ZeitplanungPhase 1: Analyse (5h)Ist-Analyse (1h)Anforderungsanalyse & Lastenheft (2h)Projekt- und Meilensteinplanung (2h)Phase 2: Evaluierung & Konzeption (9h)Marktrecherche & Nutzwertanalyse (3h)Wirtschaftlichkeitsprüfung & Amortisationsrechnung (2h)Technisches Soll-Konzept (4h)Phase 3: Realisierung (14h)Systembereitstellung & Grundkonfiguration in ESXi (3h)VLAN- und Regelwerk-Migration & VPN-Konfiguration (5h)Konfiguration der Sicherheitsdienste (3h)API-Anbindung (3h)Phase 4: Qualitätssicherung & Abschluss (4h)Funktions- & Sicherheitstests (2h)Soll-ist-Vergleich & Projektabnahme (2h)Phase 5: Dokumentation (8h)Erstellung des Projektberichts (6h)Zusammenstellung technischer Anlagen & Kundendoku (2h)4. Geplante DokumentationsanlagenWirtschaftlich & Konzeptionell: Nutzwertanalyse der Firewall-Lösungen, Amortisationsrechnung sowie eine Schutzbedarfsanalyse der VLANs.Technisch: Netzwerkplan (Ist/Soll), Konfigurationsauszüge und IaC-Dokumentation_________________________Ich hoffe ich habe ihn auf das nötigste kürzen können und somit eine seht gute Chance, dass der Antrag so genehmigt wird.Ich freue mich natürlich über jedes Feedback und Meinung dazu.Liebe GrüßeÜba3ba Bearbeitet vor 4 Stunden4 h von Ueba3ba
Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.